type
status
date
slug
summary
tags
category
icon
password
书籍
理論
以下に、S3エンドポイントとアクセスポイントの簡潔な違いを示します:
項目 | S3エンドポイント | S3アクセスポイント |
目的 | VPCからS3へのプライベートアクセス | アプリケーションやVPC単位でS3アクセスを管理 |
アクセス制御 | VPC内でアクセス制御 | 特定のVPCやアプリケーションにアクセス制御 |
複数VPC対応 | 1つのVPCのみ | 複数のVPC対応 |
使用例 | VPC内のリソースからS3にアクセス | 複数アプリケーションがS3にアクセスする場合 |
ポイント:
- エンドポイントはVPCからのアクセス用。
- アクセスポイントは複数VPCやアプリケーションにアクセス制御を提供。
実践
略
一問道場
ある企業がAmazon S3にデータレイクを持っており、そのデータレイクに複数のAWSアカウントから数百のアプリケーションがアクセスする必要があります。企業の情報セキュリティポリシーによると、S3バケットはインターネット越しにアクセスできないようにし、各アプリケーションには最小限の権限を付与する必要があります。これらの要件を満たすため、ソリューションアーキテクトは、各アプリケーションのために特定のVPCに制限されたS3アクセスポイントを使用することを計画しています。
このソリューションを実装するためにソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選んでください)
A. 各アプリケーションのためにS3アクセスポイントを作成し、そのアクセスポイントをアプリケーションのVPCからのみアクセス可能に設定します。バケットポリシーを更新して、アクセスポイントからのアクセスを要求します。
B. 各アプリケーションのVPCにAmazon S3のインターフェースエンドポイントを作成し、エンドポイントポリシーを設定してS3アクセスポイントへのアクセスを許可します。S3エンドポイントにVPCゲートウェイアタッチメントを作成します。
C. 各アプリケーションのVPCにAmazon S3のゲートウェイエンドポイントを作成し、エンドポイントポリシーを設定してS3アクセスポイントへのアクセスを許可します。アクセスポイントにアクセスするために使用するルートテーブルを指定します。
D. 各AWSアカウントの各アプリケーションのためにS3アクセスポイントを作成し、それらのアクセスポイントをS3バケットに接続します。各アクセスポイントをアプリケーションのVPCからのみアクセス可能に設定し、バケットポリシーを更新してアクセスポイントからのアクセスを要求します。
E. データレイクのVPCにAmazon S3のゲートウェイエンドポイントを作成し、エンドポイントポリシーを設定してS3バケットへのアクセスを許可します。バケットにアクセスするために使用するルートテーブルを指定します。
解説
A. 各アプリケーションのためにS3アクセスポイントを作成し、そのアクセスポイントをアプリケーションのVPCからのみアクセス可能に設定します。バケットポリシーを更新して、アクセスポイントからのアクセスを要求します。
- S3アクセスポイントをVPCに制限することで、セキュアなアクセスを実現できます。バケットポリシーでアクセスポイントのみからアクセスを許可することもできます。
C. 各アプリケーションのVPCにAmazon S3のゲートウェイエンドポイントを作成し、エンドポイントポリシーを設定してS3アクセスポイントへのアクセスを許可します。アクセスポイントにアクセスするために使用するルートテーブルを指定します。
- ゲートウェイエンドポイントを使用して、アプリケーションのVPCから安全にS3アクセスポイントにアクセスする方法です。プライベート経由です。
この組み合わせが、要求されたセキュリティポリシーと最小限の権限付与を満たす解決策です。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/173d7ae8-88e2-80c8-91ca-ce9b50bac753
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
