Q33 — AWS SAA-C03 第5章
第 33/65 問 | ← 第5章
Q333. 次のIAMポリシーがIAMグループにアタッチされています。このポリシーは、そのグループに適用される唯一のポリシーです。このポリシーによるグループメンバーの実効的なIAM権限は何ですか?
- A. グループメンバーは、us-east-1リージョン内で任意のAmazon EC2アクションを実行できます。Allow権限以降のステートメントは適用されません。
- B. グループメンバーは、多要素認証(MFA)でログインしない限り、us-east-1リージョン内の任意のAmazon EC2権限を拒否されます。
- C. グループメンバーは、多要素認証(MFA)でログインしている場合に限り、すべてのリージョンでec2:StopInstancesおよびec2:TerminateInstancesの権限を許可されます。その他の任意のAmazon EC2アクションも許可されます。
- D. グループメンバーは、多要素認証(MFA)でログインしている場合に限り、us-east-1リージョン内でのみec2:StopInstancesおよびec2:TerminateInstancesの権限を許可されます。また、us-east-1リージョン内ではその他の任意のAmazon EC2アクションも許可されます。 ✓
正解: D. グループメンバーは、多要素認証(MFA)でログインしている場合に限り、us-east-1リージョン内でのみec2:StopInstancesおよびec2:TerminateInstancesの権限を許可されます。また、us-east-1リージョン内ではその他の任意のAmazon EC2アクションも許可されます。
解説
このポリシーは、ユーザーが多要素認証(MFA)で認証されている場合にのみ、us-east-1リージョン内でec2:StopInstancesおよびec2:TerminateInstancesアクションを許可します。us-east-1リージョン内のその他のすべてのAmazon EC2アクションについては、MFA要件なしでグループメンバーに許可されます。Allow権限以降のステートメントは存在しないため、追加の制約や権限は適用されません。デフォルトでは、AWS Identity and Access Management(IAM)ユーザには、Amazon EC2リソースの作成・変更やAmazon EC2 APIを用いたタスク実行の権限が付与されていません。IAMユーザがこれらの操作を行うためには、必要な特定のリソースおよびAPIアクションに対する権限を明示的に付与するIAMポリシーを作成し、それを対象のIAMユーザまたはグループにアタッチする必要があります。