Question#52(SCS-C01)

ある会社の開発者は、AWS Lambda 関数 URL を使用して関数を直接呼び出しています。会社は、開発者が本番アカウントで認証されていない関数を設定またはデプロイできないようにする 必要があります。会社はこの要件を AWS Organizations を使って実現 したいと考えています。また、ソリューションは開発者に追加の作業を要求しないようにする必要があります。

この要件を満たすソリューションはどれですか。

A. 開発者に、異なるドメインから関数が呼び出されるときにすべての関数 URL をクロスオリジンリソース共有 (CORS) をサポートするように設定することを要求する。
B. AWS WAF の委任管理アカウントを使用して、本番アカウントで関数を使用している OU に基づいて関数 URL への認証されていないアクセスを確認およびブロックする。
C. SCP を使用して、lambda:FunctionUrlAuthType 条件キーの値が AWS_IAM の場合に限り、すべての lambda:CreateFunctionUrlConfig および lambda:UpdateFunctionUrlConfig アクションを許可する。
D. SCP を使用して、lambda:FunctionUrlAuthType 条件キーの値が NONE のすべての lambda:CreateFunctionUrlConfig および lambda:UpdateFunctionUrlConfig アクションを拒否する。

正解と解説ディスカッション 0

正解：D

正解です。Organizations レベルで、開発者が本番アカウントに未認証 Function URL をデプロイすることを防止します。IAM 認証 (AWS_IAM) は許可されるため、要件を完全に満たします。

Lambda Function URLs には 2 種類の認証タイプがあります。

AWS_IAM : IAM 認証を必須にする（安全）
NONE : 認証なしで誰でもアクセス可能（危険、本番環境では避けるべき）

要件は「本番アカウントで未認証（NONE）の関数 URL を作成できないようにする」ことです。これに最も合致するのは SCP を使って lambda:FunctionUrlAuthType = NONE の場合に Create/Update を拒否する制御 です。これにより開発者は IAM 認証を有効にした Function URL しか作成できなくなります。 SCP は Organizations レベルで適用できるため、本番アカウント全体で強制され、開発者が追加作業をする必要はありません。

Question#52(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル