Q33 — AWS SAA-C03 第5章

第 33/65 問 | ← 第5章

Q333. 次のIAMポリシーがIAMグループにアタッチされています。このポリシーは、そのグループに適用される唯一のポリシーです。このポリシーによるグループメンバーの実効的なIAM権限は何ですか?

正解: D. グループメンバーは、多要素認証(MFA)でログインしている場合に限り、us-east-1リージョン内でのみec2:StopInstancesおよびec2:TerminateInstancesの権限を許可されます。また、us-east-1リージョン内ではその他の任意のAmazon EC2アクションも許可されます。

解説

このポリシーは、ユーザーが多要素認証(MFA)で認証されている場合にのみ、us-east-1リージョン内でec2:StopInstancesおよびec2:TerminateInstancesアクションを許可します。us-east-1リージョン内のその他のすべてのAmazon EC2アクションについては、MFA要件なしでグループメンバーに許可されます。Allow権限以降のステートメントは存在しないため、追加の制約や権限は適用されません。デフォルトでは、AWS Identity and Access Management(IAM)ユーザには、Amazon EC2リソースの作成・変更やAmazon EC2 APIを用いたタスク実行の権限が付与されていません。IAMユーザがこれらの操作を行うためには、必要な特定のリソースおよびAPIアクションに対する権限を明示的に付与するIAMポリシーを作成し、それを対象のIAMユーザまたはグループにアタッチする必要があります。