■ 問題
あなたはソリューションアーキテクトとして、オンプレミス環境にあるドキュメント管理システムをAWSに移行しています。このドキュメント管理システムには非常に重要なドキュメントが含まれるため、Amazon S3 バケットに保存した上で機密情報を保護する必要があります。特定の管理者のみが新しいドキュメントを保存できるようにして、他のユーザー全員は読み取り専用アクセスにする必要があります。さらに、一度保存されたドキュメントは変更を禁止して1年間は保存する必要があります。このドキュメントの保持期間は途中で変更することは許されません。
この要件を満たすことができる、最適なAmazon S3バケットの構成はどれでしょうか。
選択肢
- S3バケットを作成する際にオブジェクトロックを有効化して、1年間の保持期間を設定して、ガバナンスモードでオブジェクトロックを適用する。
- S3バケットを作成する際にオブジェクトロックを有効化して、1年間の保持期間を設定して、コンプライアンスモードでオブジェクトロックを適用する。
- 既存のS3バケットに対してオブジェクトロックを有効化して、1年間の保持期間を設定して、ガバナンスモードでオブジェクトロックを適用する。
- 既存のS3バケットに対してオブジェクトロックを有効化して、1年間の保持期間を設定して、コンプライアンスモードでオブジェクトロックを適用する。
- オンデマンドインスタンス
これより先は正解と解説になります
■ 正解
✅
S3バケットを作成する際にオブジェクトロックを有効化して、1年間の保持期間を設定して、コンプライアンスモードでオブジェクトロックを適用する。
■ 構成イメージ
管理者(書き込み可)
│ PUT
▼
S3 Bucket(Object Lock 有効)
┌──────────────────────────────┐
│ コンプライアンスモード │
│ Retention:1年 │
│ WORM(書き込み後変更不可) │
└──────────────────────────────┘
▲
│ GET(読み取りのみ)
一般ユーザー■ この問題のポイント
・変更禁止(上書き不可)
・削除不可
・保持期間変更不可
・強制的な制御(rootでも不可)👉 ここまで強い制約 = コンプライアンスモード一択
■ なぜこれが正解か?
✔ コンプライアンスモード
・誰も変更できない
・削除できない
・保持期間も変更不可
・rootユーザーでも無理👉 完全ロック(WORM)
■ ガバナンスモードとの違い(超重要)
ガバナンスモード
→ 特権ユーザーなら解除可能
コンプライアンスモード
→ 誰も解除不可■ 不正解の理由
❌ ガバナンスモード
解除できてしまう
👉 「変更不可」要件を満たさない
❌ 既存バケットに後付け
オブジェクトロックは後付け不可
👉 バケット作成時のみ設定可能
■ S3オブジェクトロックとは?
WORM(Write Once Read Many)👉 一度書いたら変更できない
■ 試験での見抜き方(超重要)
問題文にこれがあれば👇
・削除不可
・変更不可
・保持期間変更不可
・コンプライアンス👉 コンプライアンスモード
■ 一発で覚える
絶対消せない → コンプライアンス
条件付きで消せる → ガバナンス■ まとめ
| 要件 | 解決策 |
|---|---|
| 削除不可 | オブジェクトロック |
| 変更不可 | WORM |
| 期間変更不可 | コンプライアンスモード |
| 後付け不可 | バケット作成時に設定 |
■ 最重要ポイント
S3 Object Lockは「作成時のみ」■ 結論
完全なデータ不変性が求められる場合は
S3 Object Lock + コンプライアンスモード を選択する
ここまで読んでいただき、ありがとうございます。もしこの記事の技術や考え方に少しでも興味を持っていただけたら、ネクストのエンジニアと気軽に話してみませんか。
- 選考ではありません
- 履歴書不要
- 技術の話が中心
- 所要時間30分程度
- オンラインOK
