みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
书籍
 

理論

S3アクセスポイントは特にVPC内でのアクセス管理に便利ですが、複数アカウント間でアクセスする際に直接必要とは言えません。このシナリオではVPCエンドポイントを使用する方が適切です。
別のAWSアカウントのVPCにおいて、EC2インスタンスからS3にアクセスするために、ゲートウェイVPCエンドポイントを作成することが必要です。これにより、インターネット経由ではなく、VPC内で直接S3にアクセスできます。

実践

一問道場

問題 #527
ある企業が多数のIoTデバイスからデータを収集しています。そのデータはAmazon S3データレイクに保存されています。データサイエンティストは、別のAWSアカウント内のVPCの2つのパブリックサブネットで実行されているAmazon EC2インスタンスで分析を行っています。データサイエンティストは、EC2インスタンスからデータレイクにアクセスする必要があります。EC2インスタンスには、すでにAmazon S3へのアクセス権限を持つロールが割り当てられています。企業のポリシーによれば、IoTデータにアクセスできるのは承認されたネットワークのみです。
この要件を満たすために、ソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選択してください。)
A. データサイエンティストのVPCに対してAmazon S3のゲートウェイVPCエンドポイントを作成する。
B. データレイクのためにデータサイエンティストのAWSアカウントでS3アクセスポイントを作成する。
C. EC2インスタンスのロールを更新し、s3:GetObjectアクションを許可するポリシーを追加します。条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合に許可します。
D. VPCルートテーブルを更新し、S3トラフィックをS3アクセスポイントにルーティングする。
E. S3バケットポリシーを追加し、条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合にs3:GetObjectアクションを許可する。

解説

このシナリオにおける要件は、データサイエンティストが特定のネットワーク(すなわちVPC)からのみAmazon S3データレイクにアクセスできることです。そのため、最も重要な点はアクセスの制限です。ポリシーによって、特定のVPCのみがデータにアクセスできるようにする必要があります。解答を選ぶために要件を満たす方法を見ていきます。

選択肢の検討:

  • A. データサイエンティストのVPCに対してAmazon S3のゲートウェイVPCエンドポイントを作成する。
    • 正解です。 ゲートウェイVPCエンドポイントを使用することで、インターネットを経由せずに、VPC内から直接S3にアクセスすることができます。これにより、アクセスがネットワーク内に限定され、承認されたVPCからのみS3データレイクにアクセス可能になります。
  • B. データレイクのためにデータサイエンティストのAWSアカウントでS3アクセスポイントを作成する。
    • 不正解です。 アクセスポイントは特にVPC内からアクセスを管理するためのもので、必ずしもVPCエンドポイントを使用してアクセスを制限する要件には合いません。この場合、アクセスポイントは利用しない方がよいです。
  • C. EC2インスタンスのロールを更新し、s3:GetObjectアクションを許可するポリシーを追加します。条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合に許可します。
    • 不正解です。 s3:DataAccessPointArnの条件を追加することは、特定のアクセスポイント経由でのアクセスに制限するためのものですが、VPCに対するアクセス制限に必要なアクションではありません。この条件は必要ありません。
  • D. VPCルートテーブルを更新し、S3トラフィックをS3アクセスポイントにルーティングする。
    • 不正解です。 VPCのルートテーブルを更新してS3のトラフィックをアクセスポイントにルーティングすることは、必要な手順ではありません。エンドポイントで十分に管理できます。
  • E. S3バケットポリシーを追加し、条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合にs3:GetObjectアクションを許可する。
    • 正解です。 S3バケットポリシーにおいて、アクセスポイントARNを条件にアクセスを制限することで、特定のVPCまたはネットワークからのみアクセスできるようにすることが可能です。

結論

要件を満たすためには、以下の手順を取るべきです:
  • A: ゲートウェイVPCエンドポイントを作成することで、VPC内からインターネットを経由せずにS3にアクセスできるようにする。
  • E: S3バケットポリシーに条件を追加し、特定のアクセスポイントからのアクセスのみを許可する。
よって、正解は AE です。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator526-AWS SAP AWS 「理論・実践・一問道場」AWS IoT Core
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
35条書面-64問-1
35条書面-64問-1
2025年6月13日
TOKYO自習島
TOKYO自習島
2025年6月10日
平成26年秋期 午後問1
平成26年秋期 午後問1
2025年6月6日
令和5年秋期 午後問1
令和5年秋期 午後問1
2025年6月6日
令和2年秋期 午後問1
令和2年秋期 午後問1
2025年6月6日
業務上の規制-87問-1
業務上の規制-87問-1
2025年6月4日
公告

🎉 欢迎访问我的博客 🎉

🙏 感谢您的支持 🙏

📅 本站自 2024年9月1日 建立,致力于分享在 IT・MBA・不动产中介 等领域的学习与实践,并推动 学习会 的自主开展。
📖 博客语言使用比例
🇯🇵 日语 90% 🇨🇳 中文 8% 🇬🇧 英语 2%

📚 主要内容

💻 IT・系统与开发

  • 系统管理:Red Hat 等
  • 容器与编排:Kubernetes、OpenShift
  • 云计算:AWS、IBM Cloud
  • AI 入门:人工智能基础与实践
  • 技术笔记与考证经验

🏠 不动产 × 宅建士

  • 宅建士考试笔记

🎓 MBA 学习笔记

  • 管理学、经济学、财务分析等

🔍 快速查找内容(标签分类)

由于网站目前没有专门的设计,可能会导致查找信息不便。为了更快找到你感兴趣的内容,推荐使用以下标签功能 进行搜索!
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://www.minami.ac.cn/tag
标签 | みなみの風物詩
📌 定期更新,欢迎常来看看!
📬 有任何建议或想法,也欢迎留言交流!
目录
0%