Q13 — AWS DOP-C02 第2章
第 13/100 問 | ← 第2章
ある企業は複数のAWSアカウントを使用しています。この企業は、Microsoft Azure DevOpsと統合されたAWS ToolkitおよびAWS Single Sign-On(AWS SSO)を採用しています。AWS SSOでは、アクセス制御機能の属性マッピングが有効化されています。属性マッピングのリストには、以下の2つの項目が含まれています。「department」キーは「${path:enterprise.department}」にマッピングされ、「costCenter」キーは「${path:enterprise.costCenter}」にマッピングされます。 現在、すべてのAmazon EC2インスタンスには「department」タグが付与されており、その値は企業内の3つの部門(d1、d2、d3)に対応しています。DevOpsエンジニアは、これらの属性と一致するポリシーを作成したいと考えています。これらのポリシーは、管理作業を最小限に抑え、各Azure ADユーザーが自身の部門名と一致するEC2インスタンスのみにアクセスできるように制限する必要があります。 DevOpsエンジニアは、カスタム許可ポリシーにどの条件キーを含めるべきですか?
- A. "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": ["department"] } }
- B. "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } }
- C. "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } } ✓
- D. "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": ["d1", "d2", "d3"] } }
正解: C. "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } }
解説
https://aws.amazon.com/blogs/security/simplify-granting-access-to-your-aws-resources-by-using-tags-on-aws-iam-users-and-roles/