Q19 — AWS SAA-C03 第4章
第 19/105 問 | ← 第4章
Q214. ある会社が新しいアプリケーションをリリースし、そのアプリケーションのメトリクスを Amazon CloudWatch ダッシュボード上で表示します。同社のプロダクトマネージャーは、このダッシュボードを定期的に参照する必要がありますが、AWS アカウントを持っていません。ソリューションアーキテクトは、最小権限の原則に従って、プロダクトマネージャーにアクセスを提供する必要があります。これらの要件を満たす解決策はどれですか?
- A. CloudWatch コンソールからダッシュボードを共有します。プロダクトマネージャーのメールアドレスを入力して共有手順を完了し、ダッシュボードへの共有リンクを提供します。 ✓
- B. プロダクトマネージャー専用の IAM ユーザーを作成します。このユーザーに AWS 管理ポリシー「CloudWatchReadOnlyAccess」をアタッチします。新しく作成したログイン認証情報をプロダクトマネージャーに提供し、正しいダッシュボードへのブラウザ URL も併せて共有します。
- C. 社員向けに IAM ユーザーを作成し、IAM ユーザーに AWS 管理ポリシー「ViewOnlyAccess」をアタッチします。新しく作成したログイン認証情報をプロダクトマネージャーに提供し、プロダクトマネージャー自身が CloudWatch コンソールにログインして、[ダッシュボード] セクションからダッシュボード名で該当のダッシュボードを検索するよう依頼します。
- D. パブリックサブネット内にバスティオンサーバーをデプロイします。プロダクトマネージャーがダッシュボードにアクセスする必要がある際には、サーバーを起動し、RDP 認証情報を共有します。バスティオンサーバー上では、適切な表示権限を持つ AWS 資格情報(キャッシュ済み)で設定されたブラウザが、ダッシュボード URL を自動で開くようにします。
正解: A. CloudWatch コンソールからダッシュボードを共有します。プロダクトマネージャーのメールアドレスを入力して共有手順を完了し、ダッシュボードへの共有リンクを提供します。
解説
最小権限の原則に則り、プロダクトマネージャーに AWS アカウントがない状況で CloudWatch ダッシュボードへのアクセスを安全に提供するには、IAM ユーザーを作成し、必要な最小限の権限(CloudWatch の読み取り専用アクセス)のみを付与するのが最適です。選択肢 A は、CloudWatch ダッシュボードの共有機能は存在せず、実際にはサポートされていないため不正解です。選択肢 C の「ViewOnlyAccess」ポリシーは非常に広範な読み取り専用権限を含み、最小権限の原則に反します。選択肢 D は過剰な複雑さとセキュリティリスク(RDP、バスティオンサーバーの管理、キャッシュされた資格情報)を伴い、非効率かつ推奨されません。したがって、最も適切なのは選択肢 B です。