AWS CLF　問題905-908：AWS IAMポリシー

【正解】
A) 最も制限の厳しいポリシーが優先されます。

【解説】
IAM ポリシーが評価される順番は、評価の結果に影響しません。すべてのポリシーが評価されると、結果は常に、要求が許可されるか拒否されるかになります。しかし、競合するポリシーがある場合、最も制限の厳しいポリシーが優先されます。つまり、より制限の厳しいポリシーが適用され、そのポリシーによってアクセスが許可されるか拒否されるかが決まります。優先順位は、「明示的な拒否 > 明示的な許可 > 暗黙的な拒否」となります。

最後に評価されたポリシーが優先されるという説明は正しくありません。また、ポリシーの評価の順番には影響がないため、ランダムに評価されるという説明も正しくありません。

【正解】
A) ユーザーに必要な作業を判断し、その作業のみを許可するポリシーを作成します。

【解説】
最小権限の原則は、コンピュータのセキュリティにおいて重要なコンセプトです。この原則に従うと、ユーザーに必要な作業を判断し、その作業のみを許可するポリシーを作成することが推奨されます。最初に最小限のアクセス許可セットを設定し、必要に応じて追加のアクセス許可を付与する方法です。広範なアクセス許可から始めて後で厳しく制限するよりも、セキュリティの観点からは安全です。

IAM ポリシーはグローバルな設定であり、AWS リージョンには依存しません。そのため、ポリシーの評価順によって最小権限の原則が守られるという説明は正しくありません。

【正解】
B) IAM ユーザーが実行できるアクションを制御するポリシー です。

【解説】
アイデンティティベースのポリシーは、IAMユーザー、グループ、またはロールのアイデンティティに基づいてアクセス権限を設定するポリシーです。IAMユーザーが実行できるアクションやリソースへのアクセスを制御するために使用されるポリシーがアイデンティティベースのポリシーです。

A) の「S3 バケットへのアクセスを許可するポリシー」は、リソースベースのポリシーに該当します。選択肢Cの「承認された IP アドレス範囲からのアクセスのみを許可するポリシー」もリソースベースのポリシーに該当します。選択肢Dの「特定のEC2へのアクセスを許可するポリシー」は、EC2リソースに対するポリシーであり、アイデンティティベースのポリシーではありません。

【正解】
A) ポリシーを明示的に許可されたアクションのみに制限する 。

【解説】
IAM ポリシーのベストプラクティスの一つは、ポリシーを明示的に許可されたアクションのみに制限することです。最小権限の原則に従って、ユーザーやロールに必要なアクセス許可のみを付与することで、セキュリティを強化できます。

すべてのユーザーにフルアクセス権限を与えることは、セキュリティ上のリスクとなりますので、ベストプラクティスではありません。

IAM ポリシーはグローバルな設定であり、AWS リージョンごとに設定する必要はありません。したがって、AWS リージョンごとにポリシーを設定するという説明は正しくありません。

ポリシーの命名には意味のある名前を使用することが推奨されます。任意の名前を使用することも可能ですが、可読性や保守性の観点からは良いプラクティスではありません。