ある企業が、Amazon S3 に保存された機密データへのアクセスを特定の VPC からのみ許可したい。社内のユーザーは VPN 経由で社内ネットワークに接続し、そこから AWS の VPC を通じて S3 にアクセスする。インターネットを経由した S3 への直接アクセスはすべて拒否する必要がある。最も適切な S3 バケットポリシーの条件設定はどれか。
- A. Condition で aws:PrincipalOrgID を使って組織 ID に一致するリクエストのみを許可する。
- B. Condition で aws:sourceVpce を使って特定の VPC エンドポイント ID からのアクセスのみを許可し、それ以外を Deny する。
- C. Condition で aws:SourceIp を使って社内ネットワークの IP アドレス範囲を許可リストに設定する。
- D. Condition で aws:sourceVpc を使って特定の VPC ID からのアクセスのみを許可し、それ以外を Deny する。
解答と解説を見る
正解: B
VPC エンドポイント(Gateway 型)を経由した S3 へのアクセスを強制するには、S3 バケットポリシーで aws:sourceVpce 条件キーを使って特定のエンドポイント ID からのリクエストのみを Allow し、それ以外を Deny する。これにより、VPN → VPC → VPC エンドポイント → S3 のパスのみが許可され、インターネット経由のアクセスはエンドポイントを経由しないためブロックされる。選択肢CのSourceIp は VPN や NAT を経由すると送信元 IP が変わる可能性があり、S3 への直接インターネットアクセスを完全には防げない。選択肢DのsourceVpc はどのエンドポイントを経由してもその VPC からであれば許可してしまうため、aws:sourceVpce より粒度が粗い。ただし aws:sourceVpce の方が特定のエンドポイントに限定できるので選択肢Bがより適切。選択肢AのPrincipalOrgID は同一 AWS Organization 内のアカウントからのアクセス制限に使うものであり、VPC 経由を強制する要件には対応しない。
📚 関連サービスの解説: AWS PrivateLink/VPCエンドポイント