Q18 — AWS DVA-C02 第3章

第 18/100 問 | ← 第3章

開発者は、連携された ID ユーザーが AWS Key Management Service (AWS KMS) にアクセスできるよう、IAM ポリシードキュメントを作成しています。連携 IAM ロール名は FederatedIAMRole、ユーザー名は KeyAdmin です。開発者は、KMS キーポリシー内でプリンシパルをどのように設定すればこれらの要件を満たせますか?

正解: D. "Principal": {"AWS": "arn:aws:sts::123456789012:assumed-role/FederatedIAMRole/KeyAdmin"}

解説

AWS において、特定の IAM ロール(特に連携 IAM ロール)が KMS キーにアクセスできるようキーポリシーを設定する場合、そのロールの ARN とパスを正しく指定する必要があります。連携 IAM ロール(FederatedIAMRole)の ARN 形式には `assumed-role` キーワードを含める必要があります。これは、ある ID(例:連携 ID ユーザー)がそのロールを引き受ける(assume)場合を表します。オプション D は `assumed-role` を正しく使用しており、問題文で提示された `FederatedIAMRole` と一致するロール名を含んでいます(ただし `Keyadminy` という表記はタイプミスと思われますが、基本的な形式と意図は正確です)。他のオプション A、B、C の ARN 形式は不正確であるか、連携ロールの使用を正確に反映していません。