Q68 — AWS DVA-C02 第3章

第 68/100 問 | ← 第3章

過去3か月間、開発チームは Amazon EC2 インスタンス上でホストされているビルドサーバーを使用して、ビルドおよびデプロイを実行してきました。EC2 インスタンスのインスタンスプロファイルには、広範なアクセス許可を含む IAM ロールが使用されています。開発チームは、このロールを、必要な最小限の権限のみを付与するポリシーに置き換える必要があります。EC2 インスタンス用のカスタム IAM ポリシーを作成してこの要件を満たすための最も迅速な方法は何ですか?

正解: B. 新しい IAM ポリシーを作成し、その IAM ロールに対して過去3か月間に AWS CloudTrail が記録したすべての操作を含めます。

解説

管理者または開発者として、IAM エンティティ(ユーザーまたはロール)に必要以上に広い権限を付与してしまうことがあります。IAM では、付与する権限を細かく調整するための複数のオプションが提供されています。その1つが、エンティティのアクセス活動に基づいて IAM ポリシーを生成することです。IAM アクセスアナライザーは、AWS CloudTrail のログを分析し、指定した日付範囲内でエンティティが実際に使用した権限を含むポリシーテンプレートを生成します。このテンプレートを使用して、特定のユースケースをサポートするために必要な最小限の権限のみを付与する細かい粒度のポリシーを作成できます。