TxKxZxWx's blog

AWS SAA取得に向けて学習

AWS SAA取得に向けて 109日目 問題 オリジンアクセスアイデンティティ

間違えた問題を復習

 

問題1:

Office (Excel, Wordなどの使用方法)のトレーニングビデオを従業員に配布するシステムを構築している。

S3に格納されているコンテンツをS3から直接公開せずにCloudFrontから公開させるために、どんな方法を使用しますか?

  1. CloudFrontのオリジンアクセスアイデンティティ(OAI)を作成し、そのOAIへS3バケット内のオブジェクトのアクセスを許可する。
  2. CloudFront用のIDおよびIAMユーザーを作成し、S3バケット内のオブジェクトへのアクセスをIAMユーザーに許可する。
  3. CloudFrontアカウントセキュリティグループ "amazon-cf / amazon-cf-sg"を適切なS3バケットポリシーに追加する。
  4. クラウドフロント配布IDをプリンシパルとして、ターゲットバケットAmazonリソース名(ARN)としてリストするS3バケットポリシーを作成する。


解答:

 

解説:

「オリジンアクセスアイデンティティを使用したS3コンテンツへのアクセス制限」

オリジンアクセスアイデンティティのみが読み取り許可(または読み取りとダウンロードの許可)を持つように、S3バケットに対する許可またはバケット内のオブジェクトに対する許可を変更する。

ユーザーがCloudFrontを使用してS3オブジェクトにアクセスすると、CloudFrontオリジンアクセスアイデンティティがユーザーに代わってオブジェクトを取得する。

ユーザーが直接S3 URLを使用してオブジェクトをリクエストすると、ユーザーはアクセスを拒否される。

オリジンアクセスアイデンティティには、S3バケット内のオブジェクトにアクセスするための権限があるが、ユーザーにはない。

 

docs.aws.amazon.com