Q22 — AWS SOA-C02 第1章
第 22/100 問 | ← 第1章
ある企業は、AWS Organizations内で複数のAWSアカウントを管理しています。企業は自社AWS環境の内部セキュリティを見直しています。セキュリティ管理者は自身のAWSアカウントを保有しており、開発者用AWSアカウントのVPC構成をレビューしたいと考えています。 これらの要件を、最も安全な方法で満たすソリューションはどれですか?
- A. 各開発者アカウントにVPCリソース関連の読み取り専用アクセス権限を持つIAMポリシーを作成し、それをIAMユーザーに割り当てます。ユーザーの認証情報をセキュリティ管理者と共有します。
- B. 各開発者アカウントに、VPCアクションを含むすべてのAmazon EC2アクションに対する管理者アクセス権限を持つIAMポリシーを作成し、それをIAMユーザーに割り当てます。ユーザーの認証情報をセキュリティ管理者と共有します。
- C. 各開発者アカウントにVPCリソース関連の管理者アクセス権限を持つIAMポリシーを作成し、それをクロスアカウントIAMロールに割り当てます。セキュリティ管理者に自身のアカウントからそのロールを引き受けるよう依頼します。
- D. 各開発者アカウントにVPCリソース関連の読み取り専用アクセス権限を持つIAMポリシーを作成し、それをクロスアカウントIAMロールに割り当てます。セキュリティ管理者に自身のアカウントからそのロールを引き受けるよう依頼します。 ✓
正解: D. 各開発者アカウントにVPCリソース関連の読み取り専用アクセス権限を持つIAMポリシーを作成し、それをクロスアカウントIAMロールに割り当てます。セキュリティ管理者に自身のアカウントからそのロールを引き受けるよう依頼します。
解説
AWS Organizationsで複数アカウントを管理する際、クロスアカウントアクセスのベストプラクティスは、IAMロールを用いることであり、ユーザー認証情報の共有は推奨されません。IAMロールは長期的な認証情報を必要とせず、一時的なセキュリティトークンを用いるためセキュリティが強化されます。AWSドキュメントは最小権限の原則を強調し、タスク遂行に必要な最低限の権限のみを付与することを推奨しています。選択肢Dは、クロスアカウントIAMロールに読み取り専用VPC権限を割り当てており、セキュリティ管理者が構成を閲覧するのみで変更できないことを保証します。選択肢AおよびBはユーザー認証情報の共有を伴い、漏洩リスクがあります。選択肢Cはレビュー目的を超えた管理者権限を付与しており、過剰な権限です。クロスアカウントロールと最小権限の組み合わせは、セキュリティ上のベストプラクティスに合致します。