Q54 — AWS DOP-C02 第3章

第 54/100 問 | ← 第3章

開発チームは、AWS CloudFormation スタックを使用してアプリケーションをデプロイしたいと考えています。しかし、開発者の IAM ロールには、CloudFormation テンプレートで指定されたリソースをプロビジョニングするのに必要な権限がありません。DevOps エンジニアは、開発者がスタックをデプロイできるようにするソリューションを実装する必要があります。このソリューションは、最小権限の原則に従う必要があります。

正解: D. 必要な権限を持つ AWS CloudFormation サービスロールを作成します。開発者の IAM ロールに `iam:PassRole` 権限を付与します。スタックデプロイ時に新しいサービスロールを使用します。

解説

答え D が要件を満たします。最小権限の原則に従うため、開発者に完全なアクセス権限を直接付与することはできません(オプション B は誤り)。オプション A は開発者がリソースを提供することを許可するだけですが、包括的かつ柔軟ではない可能性があります。オプション C では開発者に `cloudformation:*` 操作権限を付与しており、権限が大きすぎます。一方、オプション D では必要な権限を持つサービスロールを作成し、開発者の IAM ロールに `iam:PassRole` 権限のみを付与することで、スタックデプロイ時にそのサービスロールを使用できるようにします。これにより、デプロイ要件を満たしつつ、最小権限の原則に従い、必要な範囲内でのみ権限を制御できます。