Q14 — AWS SAP-C02 第1章

第 14/75 問 | ← 第1章

Q89. ある企業には複数のAWSアカウントがあります。開発チームは、クラウドガバナンスおよび是正処置プロセス向けの自動化フレームワークを構築しています。この自動化フレームワークでは、中央集約型アカウント内のAWS Lambda関数が使用されます。ソリューションズアーキテクトは、Lambda関数が企業の各AWSアカウント内で実行できるよう、最小権限のアクセス許可ポリシーを実装する必要があります。これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)

正解: A. 中央集約型アカウントで、Lambdaサービスを信頼エンティティとするIAMロールを作成します。他のAWSアカウントのロールを引き受けるためのインラインポリシーを追加します。, B. 他のAWSアカウントそれぞれで、最小限のアクセス許可を持つIAMロールを作成します。中央集約型アカウントのLambda用IAMロールを信頼エンティティとして追加します。

解説

Lambda関数が各AWSアカウントで最小権限で実行されるようにするための正しい手順の組み合わせは、選択肢AとBです。 選択肢A:中央集約型アカウントにLambdaサービスを信頼エンティティとするIAMロールを作成することで、そのアカウント内のLambda関数が当該ロールを引き受けられるようになります。さらに、他のアカウントのロールを引き受けるためのインラインポリシーを追加することで、Lambda関数が各アカウント内の対応するIAMロールを一時的に引き受け、必要なアクセス許可を得て実行できます。 選択肢B:各他のAWSアカウントで最小限のアクセス許可を持つIAMロールを作成し、中央集約型アカウントのLambda用IAMロールを信頼エンティティとして設定することで、中央アカウントから呼び出されたLambda関数が、そのアカウント内で最小限の権限で安全に実行可能になります。 選択肢Cは不適切です。中央集約型アカウントのロールが「他のアカウントのロール」を信頼エンティティとする設計は、Lambda関数が他のアカウントで実行されるという要件を直接満たしません(信頼関係の方向が逆です)。 選択肢Dは不適切です。他のアカウント側で「中央アカウントのロールを引き受ける」権限を付与しても、Lambda関数がその他のアカウントで実行されるために必要な信頼関係(中央→他アカウント)が成立せず、最小権限ポリシーの実装としても不完全です。 選択肢Eは不適切です。他のアカウント側のロールがLambdaサービスを信頼エンティティとしている場合、Lambda関数がそのロールを引き受けることはできず、跨アカウント実行の仕組みが成立しません。