AWS CLF 問題905-908:AWS IAMポリシー

AWS クラウドプラクティショナー 問題集Ⅲ|完全無料&徹底解説

AWS クラウドプラクティショナー 問題集Ⅲ|完全無料&徹底解説  「AWS認定クラウドプラクティショナー問題集Ⅲ」には、400問が収録されています。この問題集を活用する…

AWS CLF 問題905-908:AWS IAMポリシー

問題905:IAM ポリシーの評価について正しい説明はどれですか?

A) 最も制限の厳しいポリシーが優先されます。
B) 最後に評価されたポリシーが優先されます。
C) 最も制限の緩いポリシーが優先されます。
D) 競合するポリシーがある場合、ランダムに評価されます。

解答解説を開く
【正解】
A) 最も制限の厳しいポリシーが優先されます。

【解説】
IAM ポリシーが評価される順番は、評価の結果に影響しません。すべてのポリシーが評価されると、結果は常に、要求が許可されるか拒否されるかになります。しかし、競合するポリシーがある場合、最も制限の厳しいポリシーが優先されます。つまり、より制限の厳しいポリシーが適用され、そのポリシーによってアクセスが許可されるか拒否されるかが決まります。優先順位は、「明示的な拒否 > 明示的な許可 > 暗黙的な拒否」となります。

最後に評価されたポリシーが優先されるという説明は正しくありません。また、ポリシーの評価の順番には影響がないため、ランダムに評価されるという説明も正しくありません。

問題906:IAM ポリシーの最小権限の原則に関する説明として正しいものはどれですか?

A) ユーザーに必要な作業を判断し、その作業のみを許可するポリシーを作成します。
B) 最も広範なアクセス許可から始め、後で厳しく制限します。
C) IAM ポリシーは特定の AWS リージョンに適用されます。
D) ポリシーの評価順によって、最小権限の原則が守られます。

解答解説を開く
【正解】
A) ユーザーに必要な作業を判断し、その作業のみを許可するポリシーを作成します。

【解説】
最小権限の原則は、コンピュータのセキュリティにおいて重要なコンセプトです。この原則に従うと、ユーザーに必要な作業を判断し、その作業のみを許可するポリシーを作成することが推奨されます。最初に最小限のアクセス許可セットを設定し、必要に応じて追加のアクセス許可を付与する方法です。広範なアクセス許可から始めて後で厳しく制限するよりも、セキュリティの観点からは安全です。

IAM ポリシーはグローバルな設定であり、AWS リージョンには依存しません。そのため、ポリシーの評価順によって最小権限の原則が守られるという説明は正しくありません。

問題907:以下のポリシーのうち、アイデンティティベースのポリシーに該当するものはどれですか?

A) S3 バケットへのアクセスを許可するポリシー
B) IAM ユーザーが実行できるアクションを制御するポリシー
C) 承認された IP アドレス範囲からのアクセスのみを許可するポリシー
D) 特定のEC2へのアクセスを許可するポリシー

解答解説を開く
【正解】
B) IAM ユーザーが実行できるアクションを制御するポリシー です。

【解説】
アイデンティティベースのポリシーは、IAMユーザー、グループ、またはロールのアイデンティティに基づいてアクセス権限を設定するポリシーです。IAMユーザーが実行できるアクションやリソースへのアクセスを制御するために使用されるポリシーがアイデンティティベースのポリシーです。

A) の「S3 バケットへのアクセスを許可するポリシー」は、リソースベースのポリシーに該当します。選択肢Cの「承認された IP アドレス範囲からのアクセスのみを許可するポリシー」もリソースベースのポリシーに該当します。選択肢Dの「特定のEC2へのアクセスを許可するポリシー」は、EC2リソースに対するポリシーであり、アイデンティティベースのポリシーではありません。

問題908:IAM ポリシーのベストプラクティスに関する次のうち、正しいものはどれですか?

A) ポリシーを明示的に許可されたアクションのみに制限する。
B) すべてのユーザーにフルアクセス権限を与える。
C) グローバルな設定で、すべてのAWS リージョンに同じポリシーを設定する。
D) ポリシーの命名には任意の名前を使用する。

解答解説を開く
【正解】
A) ポリシーを明示的に許可されたアクションのみに制限する 。

【解説】
IAM ポリシーのベストプラクティスの一つは、ポリシーを明示的に許可されたアクションのみに制限することです。最小権限の原則に従って、ユーザーやロールに必要なアクセス許可のみを付与することで、セキュリティを強化できます。

すべてのユーザーにフルアクセス権限を与えることは、セキュリティ上のリスクとなりますので、ベストプラクティスではありません。

IAM ポリシーはグローバルな設定であり、AWS リージョンごとに設定する必要はありません。したがって、AWS リージョンごとにポリシーを設定するという説明は正しくありません。

ポリシーの命名には意味のある名前を使用することが推奨されます。任意の名前を使用することも可能ですが、可読性や保守性の観点からは良いプラクティスではありません。