Q17 — AWS DOP-C02 第1章

第 17/100 問 | ← 第1章

ある企業が、組織のルートアカウントを使用して組織全体のアクセス管理を実施しています。組織のルートは1つの子OU(Organization Unit)を持ち、その子OUにはさらに「エンジニアリング」という名前の別の子OUがあります。ルート、親OU、およびエンジニアリングOUの各レベルに、デフォルトのアクセスポリシーがアタッチされています。 企業はエンジニアリングOU内に多数のAWSアカウントを保有しており、各アカウントには管理情報システム(MIS)があり、MISへのアクセスを許可するポリシーがアタッチされています。また、各アカウントにはデフォルトの実行ポリシーがアタッチされています。 あるエンジニアが、エンジニアリングOUで「静的Webサイトホスティングアクセスポリシー」を削除することを計画しています。このエンジニアは、Amazon EC2 API操作に対する許可ステートメントのみを含む新しいポリシーに置き換えます。 この変更後、MISロールのアクセス制限はどのように影響を受けますか?

正解: B. EC2リソースに対するすべてのAPI操作が許可されます。他のすべてのAPI操作は拒否されます。

解説

IAMポリシーは「明示的な許可、デフォルトでの拒否」の原則に従います。本問の核心は、ポリシー置換後の権限範囲の変化です:組織レベルで適用されるデフォルトポリシーが、EC2 API操作のみを許可する新ポリシーに置き換えられた場合、IAM権限は累積的に適用されますが、明示的に許可されていない操作は暗黙的に拒否されます。したがって、エンジニアリングOU内の各アカウントのMISロールはEC2リソースに対する全APIアクセスを獲得しますが、他のサービスに対するAPI要求は明示的な許可がないため拒否されます。これは最小権限の原則に合致します。