Q3 — AWS SAP-C02 第1章

第 3/75 問 | ← 第1章

Q78. ある企業のサーバーレスアプリケーションに対する外部監査により、過剰な権限を付与するIAMポリシーが発見されました。これらのポリシーは、同社のAWS Lambda実行ロールにアタッチされています。同社の数百のLambda関数が、Amazon S3バケットやAmazon DynamoDBテーブルへのフルアクセスなど、広範なアクセス権限を持っています。同社は、各関数がそのタスクを完了するために必要な最小限の権限のみを持つようにしたいと考えています。ソリューションズアーキテクトは、各Lambda関数に必要な権限を特定する必要があります。この要件を、最も少ない労力で満たすために、ソリューションズアーキテクトは何を行うべきでしょうか?

正解: B. AWSアカウントに対してAWS CloudTrailログ記録を有効化します。AWS Identity and Access Management(IAM)Access Analyzerを使用して、CloudTrailログに記録されたアクティビティに基づいてIAMアクセスポリシーを自動生成します。生成されたポリシーをレビューして、同社のビジネス要件を満たしていることを確認します。

解説

各Lambda関数に必要な最小限の権限を、最も少ない労力で特定するには、以下の選択肢Bが推奨されます。 B. AWSアカウントに対してAWS CloudTrailログ記録を有効化します。AWS Identity and Access Management(IAM)Access Analyzerを使用して、CloudTrailログに記録されたアクティビティに基づいてIAMアクセスポリシーを自動生成します。生成されたポリシーをレビューして、同社のビジネス要件を満たしていることを確認します。 解説: 選択肢Bは、AWS CloudTrailとIAM Access Analyzerを活用し、CloudTrailログに記録された実際のアクティビティに基づいてIAMアクセスポリシーを自動生成するものです。 1. AWS CloudTrailログ記録:AWSアカウントでCloudTrailログ記録を有効化することで、Lambda関数によって行われたAPI呼び出しやアクセスされたリソースに関する詳細な情報を取得できます。 2. IAM Access Analyzer:IAM Access Analyzerは、CloudTrailログを分析し、観測されたアクティビティに基づいてIAMアクセスポリシーを自動生成できます。Access Analyzerは機械学習アルゴリズムを用いて、Lambda関数が実際に使用したアクションおよびリソースを特定します。 3. 生成されたポリシーのレビュー:IAMアクセスポリシーが生成された後、ソリューションズアーキテクトはポリシーをレビューし、各Lambda関数がタスクを実行するために必要な最小限の権限のみが付与されているかを確認できます。 このアプローチでは、CloudTrailログの分析を通じて、各Lambda関数に必要な権限を自動的に特定できます。手作業による介入を大幅に削減でき、実際の利用状況に基づいた正確かつ効率的な権限管理が可能です。 選択肢Aは不適切です。Amazon CodeGuruを用いたLambda関数のプロファイリングおよび各関数向けのIAMポリシーの手動作成には、多大な労力と人的介入が必要です。 選択肢Cは不適切です。CloudTrailログの手動解析および要約レポートの作成後、その内容に基づくIAMポリシーの手動作成には依然として多くの手間がかかります。 選択肢Dは不適切です。Amazon EMRを用いたCloudTrailログの処理および、処理結果に基づくIAMポリシーの手動作成も、多大な労力と人的介入を要します。 したがって、選択肢Bが推奨される解決策です。これは、CloudTrailログとIAM Access Analyzerを活用して、観測された実際のアクティビティに基づきIAMアクセスポリシーを自動生成するため、労力を最小限に抑えつつ、各Lambda関数に必要な最小限の権限を確実に確保できます。 IAM Access Analyzerは、組織およびアカウント内のリソース(例:Amazon S3バケットやIAMロールなど)を外部エンティティと共有しているかどうかを特定するのに役立ちます。これにより、意図しないリソースやデータへの外部アクセスというセキュリティリスクを検出できます。IAM Access Analyzerは、AWS環境内のリソースベースポリシーを論理的推論によって分析し、外部プリンシパルと共有されているリソースを特定します。