Q68 — AWS DVA-C02 第3章
第 68/100 問 | ← 第3章
過去3か月間、開発チームは Amazon EC2 インスタンス上でホストされているビルドサーバーを使用して、ビルドおよびデプロイを実行してきました。EC2 インスタンスのインスタンスプロファイルには、広範なアクセス許可を含む IAM ロールが使用されています。開発チームは、このロールを、必要な最小限の権限のみを付与するポリシーに置き換える必要があります。EC2 インスタンス用のカスタム IAM ポリシーを作成してこの要件を満たすための最も迅速な方法は何ですか?
- A. 過去3か月間にビルドサーバーがデプロイまたは更新したサービスに基づいて新しい IAM ポリシーを作成します。
- B. 新しい IAM ポリシーを作成し、その IAM ロールに対して過去3か月間に AWS CloudTrail が記録したすべての操作を含めます。 ✓
- C. すべてのアクセスを拒否する新しい権限境界ポリシーを作成します。この権限境界を IAM ロールに関連付けます。
- D. Amazon Athena を使用して、IAM ロールが過去3か月間に実行した AWS CloudTrail イベントを含む Amazon S3 バケットをクエリし、新しい IAM ポリシーを作成します。
正解: B. 新しい IAM ポリシーを作成し、その IAM ロールに対して過去3か月間に AWS CloudTrail が記録したすべての操作を含めます。
解説
管理者または開発者として、IAM エンティティ(ユーザーまたはロール)に必要以上に広い権限を付与してしまうことがあります。IAM では、付与する権限を細かく調整するための複数のオプションが提供されています。その1つが、エンティティのアクセス活動に基づいて IAM ポリシーを生成することです。IAM アクセスアナライザーは、AWS CloudTrail のログを分析し、指定した日付範囲内でエンティティが実際に使用した権限を含むポリシーテンプレートを生成します。このテンプレートを使用して、特定のユースケースをサポートするために必要な最小限の権限のみを付与する細かい粒度のポリシーを作成できます。