AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
この問題は、SSL対応のWebアプリにおいて、セキュリティ担当者がX.509証明書の管理を行う方法について問われています。選択肢アは、証明書がセキュリティ担当者の管理下にあることは確保できますが、WebサーバーのEC2ロールがアクセスできるS3バケットにアップロードすることで、EC2サービス管理者の権限を持つ人も証明書にアクセスできる可能性があります。選択肢イは、CloudHSMからの起動時に証明書を取得することでセキュリティが確保できますが、操作が煩雑になります。選択肢ウは、Webサーバーでシステム権限を構成することで証明書にアクセスできる人を制限できますが、証明書にアクセスすべき人が限定されるため管理が困難になる場合があります。選択肢エは、IAMポリシーを構成することでセキュリティ担当者のみが証明書ストアにアクセスできるようにできます。ELBでSSLを終了することで、EC2サービス管理者は暗号化されたトラフィックのみを見ることができるため、役割分離に適しています。したがって、正解は選択肢エです。
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 52%
No.11 解説
ある顧客がSSL対応のWebアプリケーションをAWSに導入する際、インスタンスへのログインやAPIコールを行うEC2サービス管理者と、秘密鍵を含むアプリケーションのX.509証明書を管理し独占的にアクセスするセキュリティ担当者の間で役割分担を行いたいと考えています。
- セキュリティ担当者が所有し、Web サーバーの EC2 ロールのみがアクセスできる S3 バケットに証明書をアップロードします。
- セキュリティ担当者によって管理されている CloudHSM からの起動時に証明書を取得するように Web サーバーを構成します。
- 証明書へのアクセスを当局のセキュリティ担当者のみに制限するように Web サーバーでシステム権限を構成する
- セキュリティ担当者のみに証明書ストアへのアクセスを許可する IAM ポリシーを構成し、ELB で SSL を終了します。