助け合いフォーラム

AWS

AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 30304
問題を開く
AWSアカウントを持っていない一般ユーザーに、非公開設定(パブリックアクセスをブロック)されたAmazon S3のデータへアクセスさせたい。
次のS3の機能のうち、どれを利用すればよいか。

正解

署名付きURL

解説

S3の署名付きURLは、非公開設定されたオブジェクトに対して有効期限のついたURLを発行することで、AWSアカウントを持っていないユーザーでも一時的にアクセスが可能になる機能です。署名付きURLはオブジェクトのダウンロードの他、アップロード用のURLも発行可能です。

したがって正解は
・署名付きURL
です。

署名付きURLには非常に長いランダムな文字列が入るため、URLを知らない人が推測することはほぼ不可能です。署名付きURLを利用することで、S3のデータを特定のユーザーに期限付きでアクセスさせることができます。しかしユーザー認証機能はないため、URLが漏洩すると誰でもアクセスができてしまいます。

その他の選択肢については、以下のとおりです。

・ACL
他のAWSアカウントからの読み取り/書き込みを許可できます。AWSアカウントを持っているユーザーがアクセス権限設定の対象なので、誤りです。

・バケットポリシー
バケット単位でアクセス権限を設定できます。自AWSアカウント内のIAMユーザーや、他のAWSアカウントを持っているユーザーがアクセス権限設定の対象なので、誤りです。

・IAMポリシー(ユーザーポリシー)
IAMユーザー単位でアクセス権限を設定できます。自AWSアカウント内のIAMユーザーがアクセス権限設定の対象なので、誤りです。

参考

【Amazon S3(Simple Storage Service)】
Amazon S3(Simple Storage Service)は安価で耐久性が高く、保存容量が無制限のオブジェクトストレージサービスです。SaaSのサービスなのでユーザーはアプリケーションの構築や障害対応などを考慮する必要はありません。S3にアップロードされたデータはリージョン内の3か所以上のAZに保存されるので、非常に高い耐久性があります。

S3のストレージタイプである「オブジェクトストレージ」とは、ディレクトリのような階層構造を持たず、データに固有IDを付与した「オブジェクト」として扱うストレージのことです。オブジェクトに割り当てられる固有IDは「オブジェクトキー」と呼ばれ、各データはオブジェクトキーによって一意に特定できます。

【S3の構成要素】
「オブジェクト」が保存される領域を「バケット」と呼びます。一つのバケットにはオブジェクトを無制限で保存できます。バケット名はグローバルで一意にする必要があり、作成したバケットのバケット名は変更できません。一つのオブジェクトには一つのURLが付与されます。URLにはリージョン、バケット名、オブジェクトのファイル名が付きます。S3のURLからHTTP/HTTPS経由でS3オブジェクトへアクセスできます。


【ストレージクラス】
Amazon S3のストレージには複数の種類(ストレージクラス)があります。ユーザーはデータへのアクセス頻度、必要とする可用性、最短保存期間などに応じて保存するストレージクラスを選択します。
オブジェクトアップロード時のデフォルトのストレージクラスは「S3 Standard」です。ストレージクラスは、オブジェクトの設定画面や後述するライフサイクルポリシーで変更できます。

[ストレージクラスの選択画面]


[ストレージクラスの比較表]


■ライフサイクルポリシー
S3バケット内のデータに対して、ストレージクラスの変更やオブジェクトの削除を自動化する機能です。指定した期間が経過したデータを自動的に、よりコストパフォーマンスの高いストレージへ移動したり、保管期限の過ぎたデータを削除したりできます。アクセス頻度が予測できるデータや、保管期間が決められているデータのバケットに設定することで、コスト削減の効果が期待できます。

下記の図では、オブジェクト作成から30日後に「S3 Standard-IA」へ、60日後に「S3 Glacier Flexible Retrieval」へ移動させるように、ライフサイクルポリシーを設定しています。


【S3の主要な機能】
S3には保存したデータに対する様々な機能があります。下記では代表的な機能を紹介します。

■静的Webサイトホスティング
バケットに保存している静的コンテンツ(HTMLやJPGなど)をWebサイトとして公開できる機能です。静的Webサイトホスティングがサポートしているコンテンツには、JavaScriptなどクライアント側で実行されるスクリプトも含みますが、PHP、JSP、ASP.NET などサーバー側で実行されるスクリプトは含みません。
Webサイトとして公開したい静的コンテンツのあるバケットは「静的Webサイトホスティング」を有効にし、バケットをパブリックに読み取り可能になるよう設定します。

[静的Webサイトホスティングの設定画面]


■署名付きURL
非公開設定されたオブジェクトに対して有効期限のついたURLを発行することで、AWSアカウントを持っていないユーザーでも一時的にアクセスが可能になる機能です。署名付きURLはオブジェクトのダウンロードの他、アップロード用のURLも発行可能です。
署名付きURLには非常に長いランダムな文字列が入るため、URLを知らない人が推測することはほぼ不可能です。署名付きURLを利用することで、S3のデータを特定のユーザーに期限付きでアクセスさせることができます。しかしユーザー認証機能はないため、URLが漏洩すると誰でもアクセスができてしまいます。

■S3イベント通知
S3バケットに発生したイベント(オブジェクトの作成や削除など)をトリガーに通知を行う機能です。通知先はLambda関数、SQSキュー、SNSトピック、EventBridge(※)です。例えば、S3バケットにオブジェクトが作成されたらLambda関数を呼び出すといった利用方法があります。
(※)Lambda関数、SQSキュー、SNSトピック、EventBridgeに関しては、それぞれ「Lambda/API Gateway」「SQS」「SNS」「基礎知識」分野で学習します。


■リクエスタ支払い
Amazon S3のオブジェクトへアクセスする際に発生する転送料金は、通常S3バケットの所有者が支払います。S3オブジェクトを共有する際にバケットの所有者が転送料金を負担したくない場合は、バケットを「リクエスタ支払い」に設定するとアクセス元に対して転送料金が請求されるようになります。

■S3 Glacierの復元リクエスト
S3 Glacierストレージクラスに保存されているデータを「アーカイブ」といいます。「S3 Glacier Flexible Retrieval」と「S3 Glacier Deep Archive」に保存されているアーカイブは直接ダウンロードできないので「復元リクエスト」を行い一旦S3バケットに取り出します。復元リクエストには取り出し時間と料金に応じて3つのオプションがあります。

○標準取り出し
「S3 Glacier Flexible Retrieval」「S3 Glacier Deep Archive」に保存されているデータを取り出す際のデフォルトのオプションです。データの取得に通常で数分~数時間かかります。

○迅速取り出し
追加料金を払って標準取り出しよりも迅速にデータを取り出せます。「迅速取り出し」オプションは250MBまでのデータであれば通常1~5分以内に使用可能になります。迅速取り出しは「S3 Glacier Flexible Retrieval」のみ選択できます。

○大容量(バルク)取り出し
大容量のデータを取り出す場合に、標準取り出しより時間がかかりますが取り出し料金が低価格になります。ペタバイト単位のデータを1日かけて取り出します。

【S3のデータ保護】
S3には保存したデータが操作ミスなどによって喪失するのを防ぐ機能があります。

■バージョニング
バケットに保存しているオブジェクトの世代管理ができる機能です。バージョニングを有効にすると、オブジェクトの更新時には更新前と更新後の両方のオブジェクトが保存され、各オブジェクトに固有のバージョンIDが割り当てられます。オブジェクトの削除時には、オブジェクトを完全に削除する代わりに削除フラグを意味する削除マーカーが付与され、それが最新のバージョンとなります。バージョニングを利用することで、ユーザーが誤ってデータの上書きや削除をしてしまっても元のデータを復元できます。

[オブジェクトのバージョン表示画面]


■MFA Delete
S3のバージョニング機能を使用して管理されているオブジェクトを削除する際に、MFAデバイスの認証が必要となる機能です。MFA(Multi-Factor Authentication:多要素認証)とは、ユーザーIDとパスワードでの認証の際に、追加でワンタイムパスワードや指紋などのバイオメトリクスを使用する認証方法です。MFAデバイスには、物理デバイス(例:YubiKey)と仮想デバイス(例:スマートフォンにインストールされたGoogle Authenticator)があります。
MFA Deleteを利用すると、ルートユーザー(AWSとの契約を行ったアカウント)のみが、世代管理されたデータの削除権限を持つようになります。MFA Deleteが有効になっているバケットのオブジェクトを完全に削除するには、ルートユーザーがMFA認証を行い、削除対象のオブジェクトのバージョンIDを指定します。これにより、誤った削除や不正アクセスによるデータ損失を防ぐことができます。

■オブジェクトロック
S3バケットに保存したオブジェクトに対して更新・削除を制限する機能です。S3バケット作成時にのみ設定可能で、オブジェクトロックを有効にするとバージョニング機能も有効になります。
オブジェクトロックは、主にオブジェクトが意図的に改ざん・削除されることを防止する目的で使用します。

オブジェクトロックには、保持期間が無期限の「リーガルホールド」と、期限付きの「リテンションモード」の2種類があります。

〇リーガルホールド
権限(s3:PutObjectLegalHold)を持たないユーザーに対して、リーガルホールドが解除されるまでオブジェクトを読み取り専用にします。権限を持つユーザーのみオブジェクトの更新・削除と、リーガルホールドの解除ができます。

〇リテンションモード
リテンションモードは「ガバナンスモード」と「コンプライアンスモード」に分かれており、どちらかを選択します。

・ガバナンスモード
権限(s3:BypassGovernanceRetention)を持たないユーザーに対して、指定した保持期間中オブジェクトを読み取り専用にします。権限を持つユーザーのみオブジェクトの更新・削除と、ガバナンスモードの解除ができます。

・コンプライアンスモード
ルートユーザーを含む全てのユーザーに対して、指定した保持期間中オブジェクトを読み取り専用にします。保持期間中はルートユーザーを含めてコンプライアンスモードを解除できません。

リーガルホールドとリテンションモードは、同時に両方を有効にすることもできます。例えば、リーガルホールドとリテンションモード1年で有効にした場合、1年後にリテンションモードが解除されても、リーガルホールドは継続されます。逆に、リテンションモードの保持期間中にリーガルホールドを解除しても、リテンションモードは継続されます。

【S3のデータ転送】
S3には、ユーザーからS3バケットへのアップロードや、S3バケット同士のデータ転送に使用する下記の機能があります。

■S3 Transfer Acceleration
ユーザーからS3バケットへ、最適化されたネットワークルートを経由してデータを転送させる機能です。ユーザーと地理的に近いエッジロケーション(※)から高パフォーマンスなAWSネットワークを経由してS3バケットへアクセスするため、遅延の発生やデータ損失などのリスクを少なくします。
(※)エッジロケーション ... AZとは異なるAWSデータセンターで、AZよりも世界中に数多く配置されている

■マルチパートアップロード
S3バケットに保存できるオブジェクトの最大サイズは5TBですが、一度にアップロードできる最大サイズは5GBです。5GBを超えるファイルをアップロードするには「マルチパートアップロード」を利用します。
マルチパートアップロードは、単一のオブジェクトをパートといわれる複数のデータに分割して、S3バケットにアップロードする機能です。各パートはそれぞれ並列にアップロードされるので、アップロード時間を大幅に短縮できます。また、パートの一部に送信エラーが発生しても、他のパートへ影響を及ぼすことなくエラーが発生したパートのみを再送します。AWSではファイルサイズが100MB以上の場合は、マルチパートアップロードの使用を推奨しています。

マルチパートアップロードのプロセスが完了せずに中断されると「不完全なマルチパートアップロード」となります。この状況は、ネットワークの問題、アプリケーションのエラー、またはユーザーによる中断などによって発生する可能性があります。この状態では各パートのアップロードが完了していないため、ファイルは正常に使用できません。また、不完全なパートはストレージスペースを占有し、それに対する料金が発生するため、不必要なコストを発生させる可能性があります。
対策として、ライフサイクルポリシーの機能を使い、不完全なマルチパートアップロードを削除するポリシーを設定し自動的に削除することで、不要なストレージ使用量とコストを削減できます。

■S3レプリケーション
S3バケットのデータを異なるバケットへ自動的にコピーしたい場合に使用します。S3レプリケーションを設定すると、指定した他のバケットへ自動的にオブジェクトをコピーします。レプリケーション先は、同一AWSアカウントが所有するバケットでも、異なるAWSアカウントが所有するバケットでも指定できます。S3レプリケーションには、コピー先を同一リージョンのバケットにする「同一リージョンレプリケーション」と、異なるリージョンのバケットにする「クロスリージョンレプリケーション」があります。

下記の図では、米国西部(オレゴン)リージョンに新しいバケットを作成して、クロスリージョンレプリケーションを設定しています。


【S3のアクセス制御】
S3ストレージ上のバケットやオブジェクトは、デフォルトではバケットやオブジェクトを作成したAWSアカウント(S3リソースの所有者)だけがアクセスできます。権限を制限されたIAMユーザーや、他のAWSアカウントからS3リソースへアクセスできるようにするには、S3リソースの所有者であるAWSアカウントでオブジェクトやバケットへのアクセス制御を行います。

■バケットポリシー
バケット単位でアクセス権限を設定するリソースベースのポリシーです。自AWSアカウントのIAMユーザーや他のAWSアカウントのユーザーに対して、S3バケットやそのオブジェクトへのアクセス権限を設定します。また、アクセス元のIPアドレスやドメイン名によるアクセス制御もできます。


バケットポリシーはアクセス権限の設定の他に、次のような機能もあります。
○オブジェクトアップロード時に、バケットの所有者にフルコントロール権限を設定することを強制する
S3のオブジェクトはアップロードしたAWSアカウントが所有権を持ちます。バケットを複数のAWSアカウントで共有している場合も、バケットの所有者とは違うAWSアカウントがアップロードしたオブジェクトの所有権はアップロードしたAWSアカウントが持つので、バケットの所有者はオブジェクトに対してフルコントロール権限がありません。


バケットの所有者にフルコントロール権限を付与するには、オブジェクトをアップロードするAWSアカウントが、アップロード時にバケットの所有者にフルコントロール権限を付与する設定をします。
バケットポリシーは、オブジェクトアップロード時にフルコントロール権限をバケットの所有者に設定することを強制できます。これによりバケットには、バケット所有者がフルコントロール権限を持つオブジェクトのみアップロードできるようになります。


■IAMポリシー(ユーザーポリシー)
IAMユーザー単位でアクセス権限を設定するIDベースのポリシーです。自AWSアカウントのIAMユーザーやグループ、ロールに対して、S3リソースへのアクセス権限を設定します。バケットポリシーとは違い、他のAWSアカウントには設定できません。
IAMポリシーによるアクセス権限は、バケットポリシーと同じくアクセス元のIPアドレスやドメイン名によるアクセス制御もできます。


■ACL(アクセスコントロールリスト)
AWSアカウント単位でアクセス権限を設定する機能です。他のAWSアカウントに対して、S3バケットやオブジェクトへの読み取りまたは書き込みを許可します。


【S3のデータ暗号化】
S3のバケットやオブジェクトはデフォルトで暗号化されます。S3のデータ暗号化には「サーバー側の暗号化」と「クライアント側の暗号化」の2種類の方法があります。

■サーバー側の暗号化(Server-Side Encryption:SSE)
データがS3に保存されるタイミングで自動的にS3が暗号化を行います。データを取り出すときはS3がデータを復号して、ユーザーに渡します。


サーバー側の暗号化には、以下3種類の方法があります。

○S3が管理している鍵を使用する (SSE-S3)


○AWS KMS(AWS Key Management Service)に保存されているKMSキーを使用する (SSE-KMS)


○ユーザーが管理している鍵を使用する (SSE-C)


■クライアント側の暗号化
データをS3へアップロードする前にクライアント側で暗号化を行い、暗号化したデータをそのままS3に保存します。データを取り出すときは、暗号化したデータをS3からダウンロードした後、クライアント側で復号します。


クライアント側の暗号化には、以下2種類の方法があります。

○AWS KMS(AWS Key Management Service)に保存されているKMSキーを使用する


○クライアント側に保存したルートキーを使用する
上に戻る

ACL、バケットポリシーの解説について

投稿日 2024/08/28

AWS 初学者です。解説に記載されている以下の内容について疑問があります。

--- ここから ---
・ACL
バケットもしくはオブジェクトに対して、他のAWSアカウントからの読み取り/書き込みを許可できる機能です。
AWSアカウントを持っているユーザーがアクセス権限設定の対象なので、誤りです。★1

・バケットポリシー
バケット単位でアクセス権限を設定する機能です。
自AWSアカウント内のIAMユーザーや、他のAWSアカウントを持っているユーザーがアクセス権限設定の対象なので、誤りです。★2
--- ここまで ---

★1、★2 の記載ですが、ACL、バケットポリシーの両方とも「パブリックアクセス(世界中すべてのユーザ)」もアクセスできるので、記載内容として正確性に欠けると思われますが、いかがでしょうか。

■ ACL
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/managing-acls.html
■ バケットポリシー
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/security_iam_service-with-iam.html
※ 匿名アクセス許可を付与する の箇所をご参照

ご教示のほど、よろしくお願いいたします。

2024/08/28 19:18

以下の内容について疑問があります。
記載内容として正確性に欠けると思われます。

疑問なのか記述に対する訂正希望なのかがいまいちわからないので疑問についてのお話として考えてみました。
ただ、疑問のポイントがよくわからないのですが、設問の条件は

AWSアカウントを持っていないユーザーに、非公開設定されたAmazon S3のデータへアクセスさせたい。

なので、「AWSアカウントベースでの制御は不可」な相手に「非公開設定=パブリックアクセスではない」のオブジェクトを参照させたいというもののはずです。
「★1、★2 の記載」というのは「AWSアカウントを持っているユーザーがアクセス権限設定の対象なので」に対してのものだと理解したので「バケットポリシー or ACL でパブリックアクセスにすればできるじゃん」というご認識なのだと読み取りましたが、それは「非公開設定されたデータを非公開じゃなく世界中全てに公開する設定に変更すればいいじゃん」と同じことかと思いますので、上記の条件を無視(条件を勝手に変更)しているのでこの問題の回答を導くには不適切かなと思います。


コメント

y yamamotok6

2024/08/29 15:35

ご返信ありがとうございます。 記載いただいた「なので、~ 不適切かなと思います。」の文面の内容がいまいちよくわからないのですが、記載した主旨は解説の内容として「ACL、バケットポリシー」はパブリックアクセスが不可であるような内容となっていることに対する「訂正希望」となります。設問の条件は関係ありません。設問とは関係のない「参考」にも同様の記載があります。

a arashi1977

2024/08/29 22:52

> 解説の内容として「ACL、バケットポリシー」はパブリックアクセスが不可であるような内容となっていること 間違ってたらすみません。「〜がアクセス権限設定の対象なので、」という表現が「パブリックアクセス設定ができるのにそこに言及していない」という意図であっていますか? もしそうであればやはり前述の通り、ここは「設問の条件」を満たさない(=当該選択肢が誤答である)理由を記述している部分ですので、パブリックアクセスが可能であることを明記する必要性がないということだと思います。 また、参考について明確に「パブリックアクセスの設定ができる」と書いていないのは「パブリックアクセスが非推奨であること」も理由かなと思います。 提示されたリンク1つ目には ーーー 警告 すべてのユーザー (パブリックアクセス)または認証されたユーザーグループ (すべての AWS 認証ユーザー) のグループへの書き込みアクセスを許可しないことを強くお勧めします。 ーーー の記述、2つ目には ーーー 種類にかかわらず、S3 バケットへの匿名書き込みアクセスは一切付与しないことを強くお勧めします。 ーーー と、「パブリックアクセスを使用する」ことを強く否定しているので、ベストプラクティス的にも言及していないだけかなと思います。 そもそも「パブリックアクセスのブロック」というドキュメントもあるぐらいですし。 https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/access-control-block-public-access.html 上記を踏まえても「できることをできると書いていない(書いてないだけであって「できない」とは書いていないので不正確かどうかの判断は私にはできません)」ことと「この設問の正解を導くにあたって必要な情報か否か(正答を導くには条件の考慮と十分な判断材料があれば良い)」はやはり別なので、書いていないからと言って「不正確であるため訂正が必要」であり「設問の条件は関係ありません」ということにはならないのではないかなと思います。

y yamamotok6

2024/08/31 15:03

ご返信、貴重なご意見ありがとうございます。 ---- 記載いただいた内容 ↓ ---- また、参考について明確に「パブリックアクセスの設定ができる」と書いていないのは「パブリックアクセスが非推奨であること」も理由かなと思います。 --------------------------- ▼ AWS のドキュメントに非推奨とは記載されておりませんし、強く否定もしておりません。あくまで「セキュリティリスクがありますよ」ということであり、公開する内容が必ずセキュリティリスクがあるとも限りません。内容によります。 AWSの告知には以下の記載があります。 ---- AWS 設定画面より抜粋 ---- AWS では、静的ウェブサイトホスティングなど、「特定の検証済みのユースケースでパブリックアクセスが必要な場合を除き」、すべてのパブリックアクセスをブロックすることをお勧めします。 --------------------------- ▼ 強く否定していますでしょうか。 Sier としての立場でいうと「仕様を正しく理解することは非常に重要」と思います。つまり設定できるか・できないかを正しく把握する必要があるということです。紛らわしい誤解を招くような案内は NG です。私はこの解説を初めて読んだ際、パブリックアクセスは不可能と理解しました。後になって可能であることが分かりました。Sier として仕事をしている方は要注意ですね。

a arashi1977

2024/08/31 23:39

> Sier としての立場でいうと「仕様を正しく理解することは非常に重要」と思います。つまり設定できるか・できないかを正しく把握する必要があるということです。紛らわしい誤解を招くような案内は NG です。私はこの解説を初めて読んだ際、パブリックアクセスは不可能と理解しました。後になって可能であることが分かりました。Sier として仕事をしている方は要注意ですね。 ここが不思議なのですが、「仕様を正しく理解する」ことと「書いていないから利用できないと判断した(私はこの解説を初めて読んだ際、パブリックアクセスは不可能と理解しました。)」ことは別ではないですか? バケットやオブジェクトにパブリックアクセス「できない」とはっきりと記載があるのであればそのように理解されるのは納得できるのですが、できるともできないとも書かれていないものを「パブリックアクセスは不可能と理解」したのは記述の問題ではなく「記載がないのなら使えないのだ」と判断されたから、ではないでしょうか?「可否の記載がないので一次情報を確認した上で、設定可能であることを確認した」場合と「記述にないから使えないものと理解していたのに、後になって可能であることを知った」では少し話が違うように感じました。 また、少なくとも誤答解説という観点ではパブリックアクセスができるかどうか以前に誤答である理由を明確にすれば良いだけなので、関係ない情報を記載しないことで学習者に学習してほしいポイントを明確にする(「非公開設定されたAmazon S3のデータ」と条件がある以上パブリックアクセスについて言及する必要はない)というだけのことかと思います。 「ここがこういう表現なのは誤解を招くので、具体的にはこう記述すべきではないか」という具体的ポイントが示されないまま ・記載内容として正確性に欠ける ・パブリックアクセスが不可であるような内容となっている ・紛らわしい誤解を招くような案内 とだけ書かれていても想像だけで会話することになりかねないと思っています。 Sier としての立場とのことですので要件定義や設計書レビューの経験がおありだという認識でいますので、どの記述の問題点をどのように修正すべきとお考えなのかを記述修正例と合わせてご提示いただけると建設的な会話になるかと思いますので、ご検討いただけると幸いです。

y yamamotok6

2024/09/01 12:03

初めから何度も申し上げているように回答の解説と参考の解説には以下の記載があります。本件は回答に対する解説の内容に限った話ではありません。まずこの点をご理解いただけますか? --- ここから --- ・ACL バケットもしくはオブジェクトに対して、他のAWSアカウントからの読み取り/書き込みを許可できる機能です。 AWSアカウントを持っているユーザーがアクセス権限設定の対象なので、誤りです。 ・バケットポリシー バケット単位でアクセス権限を設定する機能です。 自AWSアカウント内のIAMユーザーや、他のAWSアカウントを持っているユーザーがアクセス権限設定の対象なので、誤りです。 --- ここまで --- 明らかにパブリックアクセスについての記載がありませんので、「正確性に欠けている」との指摘をしたまでです。これ以上の説明はありません。 仮に顧客に S3 アクセスに関する説明をする際に、解説に記載されているような説明だけでは言葉足らずですよね。もしレビュー等の経験があれば理解できるとは思います。「書いてあるから、書いてないから」などの頓智のような不毛な議論は不要です。

a arashi1977

2024/09/01 22:15

引用された解説の記述は「顧客に向けて S3 の機能を説明している」のではなく、学習のために当該選択肢が正答とならない理由を書いてあるだけですので、パブリックアクセスの記載の有無がないことの何が問題なのか、yamamotok6さんがどのような修正を求めているのかを理解しきれずにいます。 ただ、残念ながら認識の齟齬がないようにという意図でのお願いについては斟酌いただけず、こちらの見解についても「頓知のような不毛な議論」と一蹴されてしまっておりますので、建設的な会話が進まないと判断いたしました。 疑問を解決する一助となることができず申し訳ありません。本件会話にお時間をいただきありがとうございました。

h hg1120egyr

2024/09/06 20:34

はじめまして。何やら怪しい英語がある気がしますが、、(勘違いだったらすみませんが・・) yamamotok6様が言っているのは、ACL本来(アクセス制御)の機能と、解説との差があることだと思います。解説は問題に対しての解説なので、ACL機能自体の解説ではないということですね。 arashi1977様が言っているのは、問題に対しての解き方であったり、解説だと思います。 >・ACL >バケットもしくはオブジェクトに対して、他のAWSアカウントからの読み取り/書き込みを許可できる機能です。 ⇒確かにACL自体はアクセス制御する機能そのものですよね。 ⇒ただ、問題の解説なので、問題に沿った解答になるのだと思います。 ⇒S3の設定箇所としては、設定する際は、ACLは上記のping-t様の解説が正しいと思います。

この返信に対して
コメントを記入できます

この投稿に対して返信しませんか?