Q72 — AWS DOP-C02 第3章
第 72/100 問 | ← 第3章
ある企業が、AWS Cloud Development Kit (AWS CDK)アプリケーションをインフラストラクチャで使用しています。AWS CDKアプリケーションは、AWS Lambda関数およびそれらにアタッチされたIAMロールを作成します。同社は、業界標準のセキュリティコンプライアンスを遵守する組織です。開発者は、AWS CDKアプリケーションのデプロイに必要なロールを引き受けることができます。 セキュリティチームは、開発者およびAWS CDKアプリケーションのデプロイロールが、必要以上に多くの権限を持っていることを発見しました。また、CDKアプリケーションが作成するLambda関数に関連付けられたロールが、実際に必要な権限よりも広範な権限を保持していることも確認されました。開発者は、余分な権限を付与される可能性があります。
- A. SCP(Service Control Policy)を作成し、開発者ロールおよびAWS CDKアプリケーションデプロイロールに対してIAM:CreateRoleおよびIAM:UpdateRole操作を拒否します。新しいIAMロールを中央で作成し、開発者がLambda関数にアタッチできるようにします。
- B. IAM権限境界ポリシーを作成します。このポリシー内でAWS CDKアプリケーションが必要とする最大操作を定義します。アカウントのAWS CDKブートストラップ設定を権限境界で更新します。AWS CDKアプリケーションの設定を更新し、このポリシーをデフォルトの権限境界として使用するようにします。 ✓
- C. IAM権限境界ポリシーを作成します。このポリシー内でAWS CDKアプリケーションが必要とする最大操作を定義します。開発者に対し、AWS CDKアプリケーションコード内でロールを作成する際に権限境界ポリシー名を指定するよう指示します。
- D. SCP(Service Control Policy)を作成し、開発者ロールに対してIAM:CreateRoleおよびIAM:UpdateRole操作を拒否します。AWS CDKデプロイロールに、Lambda関数に関連付けられたロールを作成するアクセス権限を付与します。AWS Identity and Access Management Access Analyzerを実行し、Lambda関数ロールに不要な権限がないか検証します。
正解: B. IAM権限境界ポリシーを作成します。このポリシー内でAWS CDKアプリケーションが必要とする最大操作を定義します。アカウントのAWS CDKブートストラップ設定を権限境界で更新します。AWS CDKアプリケーションの設定を更新し、このポリシーをデフォルトの権限境界として使用するようにします。
解説
AWS CDKアプリケーションのデプロイ時に作成されるIAMロールおよび開発者の権限が過大であるという課題は、権限境界ポリシーを用いて最大権限を制限することで解決できます。AWS権限境界ポリシーは、IAMエンティティ(ユーザー/ロール)に設定可能な権限の上限を定義し、既存のポリシーの権限を上書きします。選択肢Bは、CDKが必要とする最大権限を定義した境界ポリシーを作成し、CDKブートストラップ設定およびアプリケーション設定を更新することで、新規作成されるすべてのロールが自動的にこの境界を継承するようにします。これにより、開発者が毎回手動でポリシー名を指定する必要がなく、運用負荷が最小限に抑えられます。他の選択肢は、分散管理(C)または過度に広範なSCP(A、D)を用いており、最小操作オーバーヘッドという要件を満たしません。正解のBは、AWSが推奨する最小権限の原則および権限境界のベストプラクティスに合致します。