Q45 — AWS SCS-C02 第1章
第 45/100 問 | ← 第1章
最近開設されたAWSアカウントのAWSアカウントルートユーザーを保護する、最も安全な方法は何ですか?(2つ選択してください)
- A. AWS Management Consoleではなく、AWSアカウントルートユーザーのアクセスキーを使用します。
- B. AdministratorAccessマネージドポリシーがアタッチされたAWS IAMユーザーに、マルチファクタ認証(MFA)を有効化します。
- C. AWS KMSを使用して、AWSアカウントルートユーザーおよびAWS IAMのアクセスキーをすべて暗号化し、30日ごとの自動ローテーションを設定します。
- D. AWSアカウントルートユーザーのアクセスキーを作成せず、代わりにAWS IAMユーザーを作成します。 ✓
- E. AWSアカウントルートユーザーにマルチファクタ認証(MFA)を有効化します。 ✓
正解: D. AWSアカウントルートユーザーのアクセスキーを作成せず、代わりにAWS IAMユーザーを作成します。, E. AWSアカウントルートユーザーにマルチファクタ認証(MFA)を有効化します。
解説
AWSのセキュリティベストプラクティスでは、ルートユーザーの権限は極めて高いため、厳重に保護する必要があります。AWS公式ドキュメントでは、ルートユーザーのアクセスキー(Access Keys)の使用を避けるよう強く推奨しており、これは権限が大きすぎるためリスクが高いからです。選択肢Dはこの原則に従い、日常的な操作はIAMユーザーで行うことで、ルートユーザーの露出を最小限に抑えます。選択肢Eは、ルートユーザーにMFAを有効化することを提案しており、ログイン時の検証レイヤーを追加するというAWSのアイデンティティ強化要件に合致します。選択肢Aは、ルートユーザーのアクセスキー使用を推奨しており、最小権限の原則に反します。選択肢BはIAMユーザーを対象としており、ルートユーザーではありません。選択肢Cは暗号化とローテーションを提案していますが、ルートユーザーにはアクセスキーを作成すべきでないため、この戦略は適用されません。AWSセキュリティホワイトペーパーおよびIAMベストプラクティスでは、ルートユーザーのMFA有効化とアクセスキーの回避が明確に強調されています。