AWS認定資格 無料問題集

解答

正しい解答：Ｄ. Amazon SageMaker サービスのIAM実行ロールに Amazon S3 バケットへの必要最小限のアクセス権限を付与する。

　URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

　AWSの最小権限の原則に従って必要なアクセス権限だけを付与するよう求められている場合に、Amazon SageMaker のトレーニングジョブが Amazon S3 バケット内のデータを読み取るための最も適切なアクセス制御方法は、「Amazon SageMaker サービスのIAM実行ロールに Amazon S3 バケットへの必要最小限のアクセス権限を付与する」 ことです。この Amazon SageMaker は機械学習（ML：Machine Learning）モデルの構築からトレーニング、デプロイ、運用までを一貫して実行できるプラットフォームを提供するマネージド型のMLサービスです。下図にイメージを示すように、Amazon SageMaker の実行ロール（IAMロール）に必要なアクセスのみを許可することで、最小権限でのアクセスを確保することができます。IAM (Identity and Access Management) は、安全にAWS操作を実施するための認証・認可の仕組みを提供するマネージド型のサービスであり、主な構成要素として、IAMユーザー、IAMグループ、IAMポリシー、IAMロールがあります。SageMaker のトレーニングジョブが実行されるときにはIAMロールを引き受けて、そのロールに設定された権限を使って Amazon S3 バケットのデータにアクセスします。そのため、S3のデータを安全に利用するには、このロールに対象バケットのデータを読み取るために必要な操作だけ許可するIAMポリシーをSageMakerに対して付与することが最も適切なアクセス制御方法となります。

　その他の選択肢は、適切な制御方法ではありません。「Amazon S3 バケットをパブリックアクセス可能に設定してSageMakerサービスからのアクセスを許可する」 ことについて、Amazon S3 のパブリックアクセスは、インターネット上の誰でもS3のデータにアクセスできる状態とする設定のことです。これは重大なセキュリティ上のリスクであり、最小権限の原則にも反します。そもそも、SageMakerのトレーニングジョブがS3にアクセスする際にパブリック設定は一切必要ありません。
　「Amazon SageMaker Studio ユーザーに Amazon S3 バケットに対する最小限のアクセス権限を付与する」 ことについて、Amazon SageMaker Studio は、MLモデルの構築、トレーニング、デプロイ、および管理を一元的に行うための統合開発環境（IDE：Integrated Development Environment） を提供するものです。SageMakerのトレーニングジョブは、SageMakerの実行ロールに設定された権限を使ってS3にアクセスするため、StudioユーザーにS3に対するアクセス権限を付与しても、トレーニングジョブの権限には影響しません。
　「最小限の Amazon S3 バケットポリシーをSageMakerサービスに付与する」 ことについて、S3バケットポリシーは、S3に対して付与するリソースベースのポリシーです。S3バケットポリシーを直接SageMakerに付与することはできないため、正しいアクセス制御方法ではありません。

ココがポイント
　クラウドプラクティショナー資格試験を学習された方なら思い出せると思いますが、AWSのサービスにアクセス権限を付与する場合はIAMロールを使うのが基本です。Amazon SageMaker も同様に、サービスに対して直接IAMポリシーをアタッチすることはできません。SageMakerは実行時に実行ロールを引き受けてAWSリソースにアクセスするため、必要な権限はこのロールに付与する点に注意が必要です。