Q62 — AWS DOP-C02 第1章

第 62/100 問 | ← 第1章

開発チームは、AWS CloudFormationスタックを使用してアプリケーションをデプロイしたいと考えています。ただし、開発者向けIAMロールには、CloudFormationテンプレートで指定されたリソースを作成するために必要な権限がありません。DevOpsエンジニアは、開発者がスタックをデプロイできるようにするソリューションを実装する必要があります。このソリューションは、最小権限の原則に従う必要があります。

正解: D. 必要な権限を持つAWS CloudFormationサービスロールを作成します。開発者向けIAMロールにiam:PassRole権限を付与します。スタックデプロイ時に新しいサービスロールを使用します。

解説

AWS CloudFormationサービスロールは、実際のリソース作成権限をサービス自体に委任するものであり、ユーザーに直接権限を付与する必要はありません。ユーザーがスタックをデプロイする際、CloudFormationはサービスロールの権限を使用して操作を実行します。ユーザーは、サービスロールをCloudFormationに渡すために`iam:PassRole`権限を所有する必要がありますが、リソースに対する直接的な権限は不要です。選択肢Dは、ユーザー権限とサービスロール権限を分離し、開発者がスタックデプロイとロールの渡しという必要最小限の操作のみを実行できるようにすることで、最小権限原則を満たします。他の選択肢は、過剰な権限を付与する(B、A)か、サービスロール権限の関連付けが正しくない(CはPassRoleを許可していない)という問題があります。AWS公式ドキュメントでは、最小権限デプロイを実現するために、サービスロールと`iam:PassRole`の組み合わせを使用することを推奨しています。