Q58 — AWS DOP-C02 第1章
第 58/100 問 | ← 第1章
開発者が、ソフトウェア・アズ・ア・サービス(SaaS)アプリケーションの新機能について概念実証(PoC)を実施しています。このアプリケーションは、AWS Organizations 内の組織に属する共有開発用AWSアカウント上に配置されています。 開発者は、検討中のAWSサービスに関連するIAMロールを作成するための権限を付与する必要があります。このソリューションは、開発者がサービス関連のロールの作成および設定を行う能力のみを許可する必要があります。
- A. 組織の管理アカウントで開発者向けにIAMユーザーを作成します。開発アカウントで開発者向けにクロスアカウントロールを設定します。このクロスアカウントロールのスコープを共通トランザクションに制限します。
- B. 開発者をIAMグループに追加します。PowerUserAccess管理ポリシーをIAMグループにアタッチします。ユーザーのアカウントに対してマルチファクタ認証(MFA)を実施します。
- C. 各組織の開発アカウントにサービスコントロールポリシー(SCP)を追加します。iam:* を拒否するルールでSCPを設定し、開発者のアクセスを制限します。
- D. 必要なIAMアクセス権限を持つIAMロールを作成し、開発者がポリシーおよびロールを作成できるようにします。そのロールに権限境界(Permissions Boundary)をアタッチし、開発者がそのロールを引き受ける権限を付与します。 ✓
正解: D. 必要なIAMアクセス権限を持つIAMロールを作成し、開発者がポリシーおよびロールを作成できるようにします。そのロールに権限境界(Permissions Boundary)をアタッチし、開発者がそのロールを引き受ける権限を付与します。
解説
AWS IAMの権限管理および権限境界(Permissions Boundary)に関する問題です。AWSの権限境界は、ロールなどのエンティティが持つ最大権限を制限するために使用され、ユーザーがポリシーにより権限を付与されていても、境界を超えて操作できないように保証します。選択肢Dは、必要なIAMアクセス権限を持つロールを作成し、それに権限境界をアタッチすることで、開発者が限定された範囲内でロールやポリシーを作成・設定できるようにします。他の選択肢は、権限が過剰(B)、影響範囲が広すぎる(C)、または操作が複雑すぎる(A)という問題があります。AWS公式ドキュメントでは、ロール作成の委任時に権限境界を使用してセキュリティとコンプライアンスを確保することを推奨しています。