【必見】AWS Certified Solutions Architect試験対策:一問一答50問 Part 4
AWS CloudFormationテンプレートで3層のWebアプリケーションをデプロイしています。これには、Web層、アプリケーション層、DynamoDBストレージが含まれます。CloudFormationテンプレートを作成する際に、API資格情報を露出せずにアプリケーションインスタンスがDynamoDBテーブルにアクセスできるようにするにはどうすればよいですか?
- CloudFormationテンプレートでIAMユーザーを作成し、必要なDynamoDBテーブルへのアクセス権を持たせ、GetAtt関数を使用してアクセスキーとシークレットキーを取得し、ユーザーデータを通じてアプリケーションインスタンスに渡します。
- CloudFormationテンプレートのパラメータセクションを使用して、ユーザーにアクセスおよびシークレットキーを入力させ、必要なDynamoDBテーブルへのアクセス権を持つ既存のIAMユーザーから取得します。
- アプリケーションインスタンスにロールをアタッチし、必要なDynamoDBテーブルへのアクセス権を持つIAMロールを作成します。
- 必要なDynamoDBテーブルへのアクセス権を持つIAMロールを作成し、インスタンスプロファイルプロパティで参照します。
正解!
不正解...
正解は「必要なDynamoDBテーブルへのアクセス権を持つIAMロールを作成し、インスタンスプロファイルプロパティで参照します。」
問題に戻る
IAMロールを使用して、アプリケーションインスタンスがDynamoDBテーブルにアクセスできるようにし、API資格情報を露出しないようにするのがベストプラクティスです。