AWS CLF 問題953-956:S3バケットとオブジェクトの保護
AWS CLF 問題953-956:S3バケットとオブジェクトの保護
問題953:新しく作成されたAmazon S3バケットとオブジェクトのデフォルトのアクセス許可はどれでしょうか。
A) パブリック
B) プライベート
C) 限定共有
D) 匿名
解答解説:
解答:B) プライベート
解説:
新しく作成された Amazon S3 バケットとオブジェクトはデフォルトでプライベートであり、明示的にアクセスが許可されているユーザーのみがアクセスできます。これにより、データのセキュリティとプライバシーが確保されます。
したがって、正しい選択肢は B) プライベートです。
問題954:Amazon S3 データオブジェクトの共有が必要な場合に検討すべきオプションはどれでしょうか。
A) バケットポリシーの作成
B) プライベートバケットアクセスを有効化
C) Amazon S3 暗号化の使用
D) バケットの削除
解答解説:
解答:A) バケットポリシーの作成
解説:
Amazon S3 データオブジェクトを共有する際には、バケット内の特定のオブジェクトに対して誰がどのようなアクセスを許可されるかを制御する必要があります。そのために、バケットポリシーを作成して設定することが重要です。バケットポリシーは、バケット全体や特定のプレフィックスに基づいて、特定のユーザーやグループにアクセス許可を与えるための強力なツールです。
他の選択肢の説明を以下に示します。
B) プライベートバケットアクセスを有効化
このオプションは逆のアプローチです。プライベートバケットアクセスを有効化すると、バケット内のデータに対して一切のアクセスを制限します。共有が必要な場合は、アクセス許可を与えるためにバケットポリシーを使用する必要があります。
C) Amazon S3 暗号化の使用
オブジェクトの共有とは直接関係はありませんが、データのセキュリティを強化するために暗号化を使用することは重要です。共有するデータが暗号化されていることを確保することで、データの機密性が保たれます。
D) バケットの削除
バケットを削除することは、共有に関する問題とは関係がありません。バケットを削除すると、バケット内のすべてのデータが失われますので、注意が必要です。
問題955:以下の選択肢から、S3データへのアクセスを制御するためのツールとオプションはどれでしょうか。
A) Amazon S3 ブロックパブリックアクセス機能
B) IAM ポリシー
C) バケットポリシー
D) 全ての選択肢
解答解説:
解答:D) 全ての選択肢
解説:
S3データへのアクセスを制御するために使用できるツールとオプションは次のとおりです。
Amazon S3 ブロックパブリックアクセス機能
プライバシーを簡単に確保するための使いやすいオプションです。この機能を使用すると、公開アクセスを望まないすべてのアクセスに対してブロックパブリックアクセスを有効にすることができます。
IAM ポリシー
ユーザーが IAM を使用して認証する場合に適したオプションです。IAM ポリシーを使用して特定のユーザーやロールに対してアクセス許可を制御することができます。
バケットポリシー
ユーザーが IAM を使用して認証できない場合に使用されるオプションです。バケットポリシーを使用して、バケットやオブジェクトへのアクセスを制御することができます。バケットポリシーは、AWSアカウント全体のアクセスを許可するか、パブリックまたは匿名アクセスを許可するように設定することができます。
アクセスコントロールリスト (ACL)
レガシーなアクセスコントロールのメカニズムです。ACL を使用して特定のバケットやオブジェクトへのアクセスを制御することもできます。
したがって、正しい選択肢は D) 全ての選択肢です。
問題956:バケットのアクセス許可チェックを行うことができるAWSの無料機能はどれでしょうか。
A) Amazon Inspector
B) AWS CloudTrail
C) AWS Trusted Advisor
D) Amazon GuardDuty
解答解説:
解答:C) AWS Trusted Advisor
解説:
AWS Trusted Advisor は、バケットのアクセス許可チェックを行うことができる無料の機能です。Trusted Advisor は、AWS アカウント内のリソースや設定に対するベストプラクティスに従ったアドバイスを提供するサービスです。バケットのアクセス許可チェックは、セキュリティ上の問題やデータの漏洩を防ぐために非常に重要です。
他の選択肢の説明を以下に示します。
A) Amazon Inspector
セキュリティの脆弱性診断を支援する有償のサービスで、バケットのアクセス許可チェックには直接関与しません。
B) AWS CloudTrail
AWS サービスのアクティビティをログとして記録するサービスであり、バケットのアクセス許可チェックとは関係がありません。
D) Amazon GuardDuty
AWS アカウント内での異常なアクティビティや不正なアクセスを検出するセキュリティ監視のためのサービスで、バケットのアクセス許可チェックとは関係がありません。