Q20 — AWS SCS-C02 第1章
第 20/100 問 | ← 第1章
セキュリティエンジニアがAmazon EC2 Image Builderを使用してEC2インスタンスのイメージを作成しようとしています。セキュリティエンジニアは、パイプラインがログをAmazon S3バケットに送信するよう設定しました。パイプラインを実行すると、以下のエラーでビルドが失敗します。「AccessDenied: Access Denied status code: 403」。 セキュリティエンジニアは、最小権限アクセスのベストプラクティスに準拠したソリューションを実装してこのエラーを解決する必要があります。 これらの要件を満たす手順の組み合わせはどれですか?(2つ選択)
- A. セキュリティエンジニアが使用しているIAMロールに、以下のポリシーがアタッチされていることを確認します:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds、およびAmazonSSMManagedInstanceCore。
- B. EC2インスタンスのインスタンスプロファイルに、以下のポリシーがアタッチされていることを確認します:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds、およびAmazonSSMManagedInstanceCore。 ✓
- C. EC2インスタンスのインスタンスプロファイルに、AWSImageBuilderFullAccessポリシーがアタッチされていることを確認します。
- D. セキュリティエンジニアのIAMロールがS3バケットに対してs3:PutObject権限を持っていることを確認します。
- E. EC2インスタンスのインスタンスプロファイルがS3バケットに対してs3:PutObject権限を持っていることを確認します。 ✓
正解: B. EC2インスタンスのインスタンスプロファイルに、以下のポリシーがアタッチされていることを確認します:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds、およびAmazonSSMManagedInstanceCore。, E. EC2インスタンスのインスタンスプロファイルがS3バケットに対してs3:PutObject権限を持っていることを確認します。
解説
本問は、Amazon EC2 Image Builderサービスがイメージ構築中に権限不足により失敗する問題を扱っています。エラーはS3アクセス拒否であり、最小権限原則に従って修正する必要があります。AWSドキュメントによると、Image Builderがイメージを構築する際のEC2インスタンスには、必要な権限を含むインスタンスロールを関連付ける必要があります。オプションBに記載されているポリシー群(EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds、AmazonSSMManagedInstanceCore)は、公式に推奨されるインスタンスプロファイルポリシーであり、基本的なサービスアクセスを保証します。オプションEは、インスタンスプロファイルがs3:PutObject権限を有することを明示しており、ログのS3アップロードという根本的な権限問題を直接解決します。その他のオプションは、ユーザーのロールではなくインスタンスロールを対象とするべきである点、あるいは過剰な権限を付与する点で、最小権限要件を満たしません。