Q54 — AWS DOP-C02 第3章
第 54/100 問 | ← 第3章
開発チームは、AWS CloudFormation スタックを使用してアプリケーションをデプロイしたいと考えています。しかし、開発者の IAM ロールには、CloudFormation テンプレートで指定されたリソースをプロビジョニングするのに必要な権限がありません。DevOps エンジニアは、開発者がスタックをデプロイできるようにするソリューションを実装する必要があります。このソリューションは、最小権限の原則に従う必要があります。
- A. 開発者が必要なリソースをプロビジョニングできる IAM ポリシーを作成し、開発者の IAM ロールにアタッチします。
- B. AWS CloudFormation への完全アクセスを許可する IAM ポリシーを作成し、開発者の IAM ロールにアタッチします。
- C. 必要な権限を持つ AWS CloudFormation サービスロールを作成します。開発者の IAM ロールに `cloudformation:*` 操作を許可します。スタックデプロイ時に新しいサービスロールを使用します。
- D. 必要な権限を持つ AWS CloudFormation サービスロールを作成します。開発者の IAM ロールに `iam:PassRole` 権限を付与します。スタックデプロイ時に新しいサービスロールを使用します。 ✓
正解: D. 必要な権限を持つ AWS CloudFormation サービスロールを作成します。開発者の IAM ロールに `iam:PassRole` 権限を付与します。スタックデプロイ時に新しいサービスロールを使用します。
解説
答え D が要件を満たします。最小権限の原則に従うため、開発者に完全なアクセス権限を直接付与することはできません(オプション B は誤り)。オプション A は開発者がリソースを提供することを許可するだけですが、包括的かつ柔軟ではない可能性があります。オプション C では開発者に `cloudformation:*` 操作権限を付与しており、権限が大きすぎます。一方、オプション D では必要な権限を持つサービスロールを作成し、開発者の IAM ロールに `iam:PassRole` 権限のみを付与することで、スタックデプロイ時にそのサービスロールを使用できるようにします。これにより、デプロイ要件を満たしつつ、最小権限の原則に従い、必要な範囲内でのみ権限を制御できます。