AWS CLF 問題909-912:AWS IAMポリシー
AWS CLF 問題909-912:AWS IAMポリシー
問題909:アイデンティティベースのポリシーとリソースベースのポリシーの違いは次のうちどれですか?
A) アイデンティティベースのポリシーはユーザーにアタッチされ、リソースベースのポリシーはリソースにアタッチされる。
B) アイデンティティベースのポリシーはリソースにアタッチされ、リソースベースのポリシーはユーザーにアタッチされる。
C) アイデンティティベースのポリシーとリソースベースのポリシーは同じものである。
D) アイデンティティベースのポリシーとリソースベースのポリシーの違いは存在しない。
解答解説:
解答:A) アイデンティティベースのポリシーはユーザーにアタッチされ、リソースベースのポリシーはリソースにアタッチされる 。
解説:
アイデンティティベースのポリシーは、ユーザーやグループ、ロールなどのアイデンティティにアタッチされます。一方、リソースベースのポリシーは、リソース(例:S3バケット)にアタッチされます。アイデンティティベースのポリシーは特定のアイデンティティに関連付けられたアクセス許可を制御し、リソースベースのポリシーは特定のリソースへのアクセス許可を制御します。
したがって、アイデンティティベースのポリシーはユーザーにアタッチされるため、正しい答えは A)です。
問題910:リソースベースのポリシーはどのような特徴を持っていますか?
A) リソースにアクセスできる人と実行できるアクションを指定する。
B) リソースベースのポリシーはユーザー認証に用いられる。
C) リソースベースのポリシーはすべての AWS サービスでサポートされている。
D) ネットワークACLにアタッチされる。
解答解説:
解答:A) リソースにアクセスできる人と実行できるアクションを指定する。
解説:
リソースベースのポリシーは、AWSリソースに対するアクセス権限を制御するために使用されるポリシーです。正しい特徴は以下の通りです。
A) リソースにアクセスできる人と実行できるアクションを指定する。
リソースベースのポリシーは、特定のリソースに対してどのアイデンティティがどのアクションを実行できるかを指定します。これにより、特定のリソースに対するアクセスを制御することができます。
B) リソースベースのポリシーはユーザー認証に用いられる。
これは誤りです。リソースベースのポリシーはアクセス権限を制御するためのものであり、ユーザーの認証とは異なる役割を果たします。
C) リソースベースのポリシーはすべての AWS サービスでサポートされている: これは誤りです。リソースベースのポリシーは、AWSサービスの中でサポートされているものもありますが、全てのAWSサービスでサポートされているわけではありません。
D) ネットワークACLにアタッチされる。
これは誤りです。ネットワークACL(Access Control List)は、VPC内でのネットワークトラフィックを制御するためのルールを指定するものであり、リソースベースのポリシーとは異なるものです。
問題911:IAM ポリシーの評価順序について、以下のうち正しい説明はどれですか?
A) 明示的な拒否ポリシーは常に優先される。
B) 明示的な許可ポリシーは常に優先される。
C) ポリシーの評価順序はランダムに行われる。
D) ポリシーの評価順序には影響がない。
解答解説:
解答:A) 明示的な拒否ポリシーは常に優先される 。
IAM ポリシーの評価は、明示的な拒否ポリシーが常に優先されるという原則に従います。つまり、明示的な拒否ポリシーが存在する場合、それによって特定のアクションが拒否されます。明示的な許可ポリシーが存在する場合、そのポリシーによって特定のアクションが許可されます。ポリシーの評価順序は明示的なポリシーに基づいて行われるため、明示的な拒否ポリシーが最優先されます。
このポリシー評価の原則により、アクセス許可が厳密に制御され、セキュリティが強化されます。明示的な拒否ポリシーが存在する場合、それによってユーザーが許可されているアクションでも、拒否されることがあります。
したがって、正しい選択肢は A)です。
問題912:IAMポリシーの命名に関して、以下のうちどのような名前の使用が推奨されますか?
A) 複雑なランダムな名前
B) ユーザーやロールの識別子を含む具体的な名前
C) 一般的な名前(例:Policy1、Policy2など)
D) ポリシーを作成した日付を含む名前
解答解説:
解答:B) ユーザーやロールの識別子を含む具体的な名前
IAMポリシーの命名には具体的かつ説明的な名前を使用することが推奨されます。ユーザーやロールの識別子を含めることで、どのアイデンティティに対してポリシーが適用されるかを明確にすることができます。具体的な名前はポリシーの管理や保守を容易にし、可読性を高めるのに役立ちます。
複雑なランダムな名前や一般的な名前を使用すると、ポリシーを特定のアイデンティティに関連付けるのが困難になります。また、ポリシーを作成した日付を含めると、ポリシーの更新や変更があった場合に毎回名前を変更する必要が生じるため、適切な選択肢ではありません。