Q92 — AWS SAA-C03 第4章
第 92/105 問 | ← 第4章
Q287. 新しい従業員がデプロイエンジニアとして会社に加わりました。このデプロイエンジニアは、AWS CloudFormationテンプレートを使用して複数のAWSリソースを作成します。ソリューションアーキテクトは、デプロイエンジニアが業務を遂行できるようにしつつ、「最小権限の原則」に従わせたいと考えています。この目標を達成するために、ソリューションアーキテクトが実施すべきアクションの組み合わせはどれですか?(該当するものを2つ選択してください。)
- A. デプロイエンジニアが、AWS CloudFormationスタック操作を実行する際にAWSアカウントのルートユーザー資格情報を使用するよう指示する。
- B. デプロイエンジニア用に新しいIAMユーザーを作成し、そのIAMユーザーをPowerUsers IAMポリシーがアタッチされたグループに追加する。
- C. デプロイエンジニア用に新しいIAMユーザーを作成し、そのIAMユーザーをAdministrativeAccess IAMポリシーがアタッチされたグループに追加する。
- D. デプロイエンジニア用に新しいIAMユーザーを作成し、そのIAMユーザーをAWS CloudFormation関連のアクションのみを許可するIAMポリシーがアタッチされたグループに追加する。 ✓
- E. デプロイエンジニア用にIAMロールを作成し、AWS CloudFormationスタックに特化した明確なアクセス許可を定義したうえで、このIAMロールを使用してスタックを起動する。 ✓
正解: D. デプロイエンジニア用に新しいIAMユーザーを作成し、そのIAMユーザーをAWS CloudFormation関連のアクションのみを許可するIAMポリシーがアタッチされたグループに追加する。, E. デプロイエンジニア用にIAMロールを作成し、AWS CloudFormationスタックに特化した明確なアクセス許可を定義したうえで、このIAMロールを使用してスタックを起動する。
解説
選択肢Aは、ルートユーザー資格情報の使用を推奨しており、これはセキュリティ上厳禁であり、また「最小権限の原則」とも明らかに矛盾します。選択肢BおよびCは、PowerUsersおよびAdministrativeAccessといった広範な権限を持つマネージドポリシーを用いるものであり、最小権限の原則に反します。一方、選択肢Dは、AWS CloudFormation専用の限定的な権限のみを付与するカスタムポリシー(または適切なマネージドポリシー)を適用するため、最小権限を満たします。選択肢Eは、特定のタスク(CloudFormationスタックの作成・管理)に必要な権限のみを明示的に定義したIAMロールを活用する方法であり、これも最小権限の原則に合致します。したがって、正解はDとEです。