Question#55(SAP-C02)
ある会社は、データサイエンティストが業務関連のドキュメントを保存するための単一の Amazon S3 バケットを作成したいと考えています。会社はすべてのユーザーの認証に AWS IAM Identity Center を使用しています。データサイエンティスト用のグループも作成済みです。
会社は、データサイエンティストに「自分自身の作業」にのみアクセスできるようにしたいと考えています。さらに、各ユーザーがどのドキュメントにアクセスしたかを示す月次レポートも作成したいと考えています。 これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)(2つ選択)
正解:A, C
要件は二つあります。第一に、単一のS3バケット内でユーザーごとに「自分の領域(プレフィックス)」だけにアクセスさせること、第二に、ユーザーごとのオブジェクトアクセス(取得・書き込みなど)を月次で可視化することです。
まずアクセス制御については、IAM Identity Center+ABAC(属性ベースのアクセス制御) を使い、セッションタグ(PrincipalTag) を S3 バケット/オブジェクトのパス制約に利用するのが最小運用で拡張性も高い設計です。たとえば各ユーザーのユーザー名(または任意の属性)をaws:PrincipalTag/… として付与し、S3 バケットポリシーまたはパーミッションセット内ポリシーで s3:prefix や s3:ResourceTag/パスに対して ${aws:PrincipalTag/<key>} を参照して制限すれば、ユーザーは自分の <prefix>=ユーザー名 配下にのみアクセスできます。これが 選択肢A に該当します。 次に監査とレポートについては、CloudTrail の「S3データイベント」 を有効化すると、GetObject や PutObject といったオブジェクトレベルの操作が追跡され、S3に配信された CloudTrail ログを Athena でクエリして、ユーザー(呼び出し主体)別・オブジェクト別のアクセスレポートを簡便に作成できます。これが 選択肢C です。データイベントはコスト最適化のために対象バケットを限定して有効化すれば運用もしやすくなります。
コメント