Q88 — AWS DVA-C02 第3章
第 88/100 問 | ← 第3章
ある開発者が、us-west-2リージョンでAmazon DynamoDBを使用するアプリケーションのトラブルシューティングを行っています。このアプリケーションはAmazon EC2インスタンスにデプロイされています。アプリケーションは「Cars」という名前のテーブルに対して読み取り専用操作を行う必要があります。EC2インスタンスには、以下のIAMポリシーを含むIAMロールがアタッチされています:{"Version":"2012-10-17"}
- A. IAMポリシーのリソースを「arn:aws:dynamodb:us-west-2:account-id:table/*」に変更する。
- B. IAMポリシーにdynamodb:*操作を含めるように変更する。
- C. EC2サービスプリンシパルを指定した信頼ポリシーを作成し、そのロールとポリシーを関連付ける。 ✓
- D. ロールとdynamodb.amazonaws.comの間に信頼関係を作成する。
正解: C. EC2サービスプリンシパルを指定した信頼ポリシーを作成し、そのロールとポリシーを関連付ける。
解説
本問は、AWS IAM(Identity and Access Management)ポリシーの理解を問うものです。開発者は、EC2インスタンス上のアプリケーションがDynamoDBテーブルに対して読み取り専用操作を実行できるようにする必要があります。選択肢Aでは、既にリソースが「*」に設定されており、すべてのリソースをカバーしているため、変更は不要です。選択肢Bでは、すべてのDynamoDB操作を含めることは読み取り専用という要件を超え、セキュリティリスクを招く可能性があります。選択肢Dでは、IAMロールはすでにEC2インスタンスにアタッチされているため、信頼関係は既に存在します。選択肢Cが正しく、EC2サービスプリンシパルを指定した信頼ポリシーを作成し、そのロールとポリシーを関連付けることで、EC2インスタンスが読み取り専用操作を実行するのに十分な権限を確保できます。