Q77 — AWS SCS-C02 第1章
第 77/100 問 | ← 第1章
あるAWSアカウントには、bucket1およびbucket2の2つのS3バケットがあります。bucket2にはポリシーが定義されていませんが、bucket1には以下のバケットポリシーがあります。さらに、同一アカウントには「alice」という名前のIAMユーザーが存在し、以下のIAMポリシーを持っています。 ユーザー「alice」がアクセスできるバケットはどれですか?
- A. bucket1のみ
- B. bucket2のみ
- C. bucket1およびbucket2の両方 ✓
- D. bucket1もbucket2もどちらもアクセスできない
正解: C. bucket1およびbucket2の両方
解説
AWSの権限評価では、IAMポリシーとS3バケットポリシーが共同でアクセス権限を決定します。デフォルトでは、すべてのリクエストは明示的に許可されない限り拒否されます。問題文では、ユーザー「alice」のIAMポリシーの詳細は明記されていませんが、解答から推論すると、両方のバケットへのアクセスを許可する権限が含まれていると判断されます。bucket1のバケットポリシーは「alice」を明示的に拒否しておらず、bucket2にはポリシーがありません。IAMポリシーが必要な権限(例:s3:GetObject)を付与し、バケットポリシーが明示的に拒否していない場合、「alice」は両方のバケットにアクセス可能です。AWSのポリシー評価ロジックに関するドキュメントを参照してください。選択肢Cが成立するのは、IAMポリシーが許可し、明示的な拒否がないためです。