AWS SAA 問題365-368:IAM アクセス許可

AWS ソリューションアーキテクト アソシエイト 問題集|完全無料&徹底解説

AWS ソリューションアーキテクト アソシエイト 問題集|完全無料&徹底解説  「AWS認定ソリューションアーキテクト アソシエイト問題集」には600問を収録しています。…

AWS SAA 問題365-368:IAM アクセス許可

問題365:以下の IAM ポリシーを分析して、正しいものを選択してください。
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": "s3:GetObject",
         "Resource": "arn:aws:s3:::mybucket/public/*"
      },
      {
         "Effect": "Deny",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::mybucket/sensitive/*"
      }
   ]
}


A) このポリシーによって、バケット内の public フォルダー内のオブジェクトを読み取ることが許可され、sensitive フォルダーにオブジェクトをアップロードすることは拒否されます。
B) このポリシーによって、バケット内のすべてのオブジェクトの読み取りが許可され、sensitive フォルダーにオブジェクトをアップロードすることは拒否されます。
C) このポリシーによって、バケット内のすべてのオブジェクトの読み取りが許可され、public フォルダーにオブジェクトをアップロードすることは拒否されます。
D) このポリシーは正しく設定されていないため、どのアクションも許可されません。

解答解説を開く
【正解】
A) このポリシーによって、バケット内の public フォルダー内のオブジェクトを読み取ることが許可され、sensitive フォルダーにオブジェクトをアップロードすることは拒否されます。

【解説】
このポリシーによって、s3:GetObject アクションが arn:aws:s3:::mybucket/public/* のリソースに対して許可され、一方で s3:PutObject アクションが arn:aws:s3:::mybucket/sensitive/* のリソースに対して拒否されます。これにより、public フォルダー内のオブジェクトの読み取りが許可され、sensitive フォルダーにオブジェクトをアップロードすることは拒否されます。

問題366:以下の IAM ポリシーを分析して、正しいものを選択してください。
{
   "Version": "2012-10-17",
   "Statement": {
      "Effect": "Allow",
      "Action": "ec2:DescribeInstances",
      "Resource": "*"
   }
}


A) このポリシーによって、すべての EC2 インスタンスの起動情報が取得可能です。
B) このポリシーによって、EC2 インスタンスを作成するアクションが許可されます。
C) このポリシーによって、すべての IAM ユーザーが EC2 インスタンスを削除することができます。
D) このポリシーは正しく設定されていないため、どのアクションも許可されません。

解答解説を開く
【正解】
A) このポリシーによって、すべての EC2 インスタンスの起動情報が取得可能です。

【解説】
このポリシーによって、ec2:DescribeInstances アクションが許可され、Resource フィールドが * となっているため、すべての EC2 インスタンスの情報が取得可能です。起動情報やタグなどが含まれますが、インスタンスの作成や削除はこのポリシーに含まれていません。

問題367:以下の IAM ポリシーを分析して、正しいものを選択してください。
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": "dynamodb:PutItem",
         "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MyTable"
      },
      {
         "Effect": "Allow",
         "Action": "dynamodb:GetItem",
         "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MyTable"
      }
   ]
}


A) このポリシーによって、MyTable テーブルへのアイテムの追加と取得が許可されます。
B) このポリシーによって、MyTable テーブルのデータを削除するアクションが許可されます。
C) このポリシーは正しく設定されていないため、どのアクションも許可されません。
D) このポリシーによって、MyTable テーブルへのアイテムの取得が許可されますが、追加は拒否されます。

解答解説を開く
【正解】
A) このポリシーによって、MyTable テーブルへのアイテムの追加と取得が許可されます。

【解説】
このポリシーによって、dynamodb:PutItem アクションと dynamodb:GetItem アクションが arn:aws:dynamodb:us-east-1:123456789012:table/MyTable のリソースに対して許可されています。したがって、MyTable テーブルへのアイテムの追加と取得が許可されます。削除アクションやその他のアクションはこのポリシーに含まれていません。

問題368:以下の IAM ポリシーを分析して、正しいものを選択してください。
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": "s3:GetObject",
         "Resource": [
            "arn:aws:s3:::mybucket/documents/*",
            "arn:aws:s3:::mybucket/images/*"
         ]
      }
   ]
}


A) このポリシーによって、mybucket バケット内の documents および images フォルダー内のオブジェクトの読み取りが許可されます。
B) このポリシーによって、mybucket バケット内のすべてのオブジェクトの読み取りが許可されます。
C) このポリシーによって、mybucket バケット内の documents フォルダー内のオブジェクトの読み取りが許可されますが、images フォルダー内のオブジェクトの読み取りは拒否されます。
D) このポリシーは正しく設定されていないため、どのアクションも許可されません。

解答解説を開く
【正解】
A) このポリシーによって、mybucket バケット内の documents および images フォルダー内のオブジェクトの読み取りが許可されます。

【解説】
このポリシーによって、s3:GetObject アクションが arn:aws:s3:::mybucket/documents/* および arn:aws:s3:::mybucket/images/* のリソースに対して許可されます。したがって、mybucket バケット内の documents および images フォルダー内のオブジェクトの読み取りが許可されます。このポリシーでは mybucket バケット内の他のオブジェクトに対するアクションは許可されていません。