Q69 — AWS DOP-C02 第3章
第 69/100 問 | ← 第3章
ある企業が、サードパーティの外部ベンダーに自社AWSアカウントへのアクセス権限を付与しています。このベンダーは、AWSアカウント内でさまざまなAWS操作を実行する必要があり、多様なIAM権限を必要としています。企業は、IAMユーザーを作成し、IAMポリシーをアタッチし、そのIAMユーザーの認証情報をベンダーに提供することでアクセス権限を付与しています。 セキュリティ監査では、ベンダーのアクセス権限が過剰であることが判明しました。企業は最小権限の原則を適用し、ベンダーが過去6か月間に実行した操作のみを許可する権限を継続的に付与したいと考えています。
- A. AWS Identity and Access Management Access Analyzerを用いて、IAMユーザーのAWS CloudTrail履歴に基づき新しいIAMポリシーを生成します。IAMユーザーのポリシーを新しく生成されたポリシーに置き換えます。
- B. AWS Identity and Access Management Access Analyzerを用いて、IAMユーザーのAWS CloudTrail履歴に基づき新しいIAMポリシーを生成します。新しく生成されたポリシーをIAMユーザーの権限境界としてアタッチします。 ✓
- C. AWS Identity and Access Management Access Analyzerを用いてIAMユーザーの最終アクセス情報を検出し、最終アクセスのレビューで特定されたサービスおよび操作のみを許可する新しいIAMポリシーを作成します。IAMユーザーのポリシーを新しく生成されたポリシーに置き換えます。
- D. AWS Identity and Access Management Access Analyzerを用いてIAMユーザーの最終アクセス情報を検出し、最終アクセスのレビューで特定されたサービスおよび操作のみを許可する新しいIAMポリシーを作成します。新しく生成されたポリシーをIAMユーザーの権限境界としてアタッチします。
正解: B. AWS Identity and Access Management Access Analyzerを用いて、IAMユーザーのAWS CloudTrail履歴に基づき新しいIAMポリシーを生成します。新しく生成されたポリシーをIAMユーザーの権限境界としてアタッチします。
解説
選択肢A:CloudTrail履歴に基づくポリシー。選択肢B:CloudTrail履歴に基づく権限境界。選択肢C:最終アクセスに基づくポリシー。選択肢D:最終アクセスに基づく権限境界。