Q42 — AWS SCS-C02 第1章
第 42/100 問 | ← 第1章
セキュリティエンジニアがAmazon S3バケットポリシーを作成し、すべてのユーザーへのアクセスを拒否しました。数日後、セキュリティエンジニアは、別の従業員1名に対して読み取り専用アクセスを許可する追加ステートメントをバケットポリシーに追加しました。しかし、ポリシーを更新した後でも、その従業員は依然として「アクセス拒否」メッセージを受け取っています。 このアクセス拒否の原因として最も考えられるものは何ですか?
- A. バケットのACLを更新する必要があります。
- B. IAMポリシーが、そのユーザーによるバケットへのアクセスを許可していません。
- C. バケットポリシーが有効になるまで数分かかるためです。
- D. 許可権限が拒否によって上書きされています。 ✓
正解: D. 許可権限が拒否によって上書きされています。
解説
Amazon S3バケットポリシーは「明示的な拒否が優先される」原則に従います。ポリシー内に複数のステートメントが含まれる場合、明示的な拒否は許可権限を上書きします。本問では、初期ポリシーがすべてのユーザーへのアクセスを明示的に拒否しており、その後追加された特定従業員への許可ステートメントが、条件・主体・リソースのいずれかにおいて元の拒否範囲を正確に除外していないため、拒否が優先されます。AWSドキュメントによれば、ポリシーの適用は即時であり、時間遅延は発生しません。選択肢Dはこの論理に合致しており、許可ステートメントが適切に制限されていないために拒否が適用されていることを示しています。選択肢AはACLに関するものであり、バケットポリシーとは無関係です。選択肢BはIAMポリシーの制限について言及していますが、問題文にはそのような制限は記載されていません。選択肢Cの時間遅延は、実際のポリシー適用メカニズムと一致しません。