Q96 — AWS SCS-C02 第1章
第 96/100 問 | ← 第1章
セキュリティエンジニアは、特定のプリンシパルのみがAmazon S3バケットにオブジェクトを配置できるようにするアカウントベースのアクセス制御(ABAC)を設定しています。プリンシパルはすでにAmazon S3へのアクセス権限を持っています。 セキュリティエンジニアは、プリンシパルがS3バケットにオブジェクトを配置できるのは、オブジェクトのTeamタグの値がプリンシパルに関連付けられたTeamタグの値と一致する場合のみであるようなバケットポリシーを設定する必要があります。テスト中に、セキュリティエンジニアは、タグ値が一致しない場合でもプリンシパルがS3バケットにオブジェクトを配置できることに気づきました。 タグ値が異なる場合にもPutObject操作が成功する原因となる要因の組み合わせはどれですか?(2つ選択)
- A. プリンシパルのIDベースポリシーが、条件なしでS3バケットへのオブジェクト配置を許可しています。 ✓
- B. プリンシパルのIDベースポリシーが、明示的な許可を含むため、条件を上書きしています。
- C. S3バケットのリソースポリシーが、オブジェクト配置へのアクセスを拒否していません。 ✓
- D. S3バケットのリソースポリシーは、プリンシパルに対するアクションを許可できません。
- E. バケットポリシーは、同じ信頼ゾーン内のプリンシパルには適用されません。
正解: A. プリンシパルのIDベースポリシーが、条件なしでS3バケットへのオブジェクト配置を許可しています。, C. S3バケットのリソースポリシーが、オブジェクト配置へのアクセスを拒否していません。
解説
AWSポリシー評価ロジックでは、IDベースポリシーとリソースポリシーが共同で作用します。IDベースポリシーが条件なしでPutObjectを許可している場合(選択肢A)、リソースポリシーが条件付きで許可しても、リソースポリシーが明示的に拒否していない限り(選択肢C)、リクエストは許可される可能性があります。AWSドキュメントによると、許可の結果を得るには、適用されるすべてのポリシーが許可する必要があります。IDベースポリシーが許可していても、リソースポリシーが拒否していない場合、タグチェックの条件が無効になる可能性があります。選択肢AとCが正しく、IDベースポリシーの許可がリソースポリシーの拒否によって上書きされておらず、タグ検証条件が機能していないことが原因です。