みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

S3アクセスポイントは特にVPC内でのアクセス管理に便利ですが、複数アカウント間でアクセスする際に直接必要とは言えません。このシナリオではVPCエンドポイントを使用する方が適切です。
別のAWSアカウントのVPCにおいて、EC2インスタンスからS3にアクセスするために、ゲートウェイVPCエンドポイントを作成することが必要です。これにより、インターネット経由ではなく、VPC内で直接S3にアクセスできます。

実践

一問道場

問題 #527
ある企業が多数のIoTデバイスからデータを収集しています。そのデータはAmazon S3データレイクに保存されています。データサイエンティストは、別のAWSアカウント内のVPCの2つのパブリックサブネットで実行されているAmazon EC2インスタンスで分析を行っています。データサイエンティストは、EC2インスタンスからデータレイクにアクセスする必要があります。EC2インスタンスには、すでにAmazon S3へのアクセス権限を持つロールが割り当てられています。企業のポリシーによれば、IoTデータにアクセスできるのは承認されたネットワークのみです。
この要件を満たすために、ソリューションアーキテクトが取るべき手順の組み合わせはどれですか?(2つ選択してください。)
A. データサイエンティストのVPCに対してAmazon S3のゲートウェイVPCエンドポイントを作成する。
B. データレイクのためにデータサイエンティストのAWSアカウントでS3アクセスポイントを作成する。
C. EC2インスタンスのロールを更新し、s3:GetObjectアクションを許可するポリシーを追加します。条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合に許可します。
D. VPCルートテーブルを更新し、S3トラフィックをS3アクセスポイントにルーティングする。
E. S3バケットポリシーを追加し、条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合にs3:GetObjectアクションを許可する。

解説

このシナリオにおける要件は、データサイエンティストが特定のネットワーク(すなわちVPC)からのみAmazon S3データレイクにアクセスできることです。そのため、最も重要な点はアクセスの制限です。ポリシーによって、特定のVPCのみがデータにアクセスできるようにする必要があります。解答を選ぶために要件を満たす方法を見ていきます。

選択肢の検討:

  • A. データサイエンティストのVPCに対してAmazon S3のゲートウェイVPCエンドポイントを作成する。
    • 正解です。 ゲートウェイVPCエンドポイントを使用することで、インターネットを経由せずに、VPC内から直接S3にアクセスすることができます。これにより、アクセスがネットワーク内に限定され、承認されたVPCからのみS3データレイクにアクセス可能になります。
  • B. データレイクのためにデータサイエンティストのAWSアカウントでS3アクセスポイントを作成する。
    • 不正解です。 アクセスポイントは特にVPC内からアクセスを管理するためのもので、必ずしもVPCエンドポイントを使用してアクセスを制限する要件には合いません。この場合、アクセスポイントは利用しない方がよいです。
  • C. EC2インスタンスのロールを更新し、s3:GetObjectアクションを許可するポリシーを追加します。条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合に許可します。
    • 不正解です。 s3:DataAccessPointArnの条件を追加することは、特定のアクセスポイント経由でのアクセスに制限するためのものですが、VPCに対するアクセス制限に必要なアクションではありません。この条件は必要ありません。
  • D. VPCルートテーブルを更新し、S3トラフィックをS3アクセスポイントにルーティングする。
    • 不正解です。 VPCのルートテーブルを更新してS3のトラフィックをアクセスポイントにルーティングすることは、必要な手順ではありません。エンドポイントで十分に管理できます。
  • E. S3バケットポリシーを追加し、条件キーs3:DataAccessPointArnの値が有効なアクセスポイントARNの場合にs3:GetObjectアクションを許可する。
    • 正解です。 S3バケットポリシーにおいて、アクセスポイントARNを条件にアクセスを制限することで、特定のVPCまたはネットワークからのみアクセスできるようにすることが可能です。

結論

要件を満たすためには、以下の手順を取るべきです:
  • A: ゲートウェイVPCエンドポイントを作成することで、VPC内からインターネットを経由せずにS3にアクセスできるようにする。
  • E: S3バケットポリシーに条件を追加し、特定のアクセスポイントからのアクセスのみを許可する。
よって、正解は AE です。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator526-AWS SAP AWS 「理論・実践・一問道場」AWS IoT Core
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%