AWS CLF　問題909-912：AWS IAMポリシー

【正解】
A) アイデンティティベースのポリシーはユーザーにアタッチされ、リソースベースのポリシーはリソースにアタッチされる 。

【解説】
アイデンティティベースのポリシーは、ユーザーやグループ、ロールなどのアイデンティティにアタッチされます。一方、リソースベースのポリシーは、リソース（例：S3バケット）にアタッチされます。アイデンティティベースのポリシーは特定のアイデンティティに関連付けられたアクセス許可を制御し、リソースベースのポリシーは特定のリソースへのアクセス許可を制御します。

したがって、アイデンティティベースのポリシーはユーザーにアタッチされるため、正しい答えは A)です。

【正解】
A) リソースにアクセスできる人と実行できるアクションを指定する。

【解説】
リソースベースのポリシーは、AWSリソースに対するアクセス権限を制御するために使用されるポリシーです。正しい特徴は以下の通りです。

A) リソースにアクセスできる人と実行できるアクションを指定する。
リソースベースのポリシーは、特定のリソースに対してどのアイデンティティがどのアクションを実行できるかを指定します。これにより、特定のリソースに対するアクセスを制御することができます。

B) リソースベースのポリシーはユーザー認証に用いられる。
これは誤りです。リソースベースのポリシーはアクセス権限を制御するためのものであり、ユーザーの認証とは異なる役割を果たします。

C) リソースベースのポリシーはすべての AWS サービスでサポートされている: これは誤りです。リソースベースのポリシーは、AWSサービスの中でサポートされているものもありますが、全てのAWSサービスでサポートされているわけではありません。

D) ネットワークACLにアタッチされる。
これは誤りです。ネットワークACL（Access Control List）は、VPC内でのネットワークトラフィックを制御するためのルールを指定するものであり、リソースベースのポリシーとは異なるものです。

【正解】
A) 明示的な拒否ポリシーは常に優先される 。

【正解】
IAM ポリシーの評価は、明示的な拒否ポリシーが常に優先されるという原則に従います。つまり、明示的な拒否ポリシーが存在する場合、それによって特定のアクションが拒否されます。明示的な許可ポリシーが存在する場合、そのポリシーによって特定のアクションが許可されます。ポリシーの評価順序は明示的なポリシーに基づいて行われるため、明示的な拒否ポリシーが最優先されます。

このポリシー評価の原則により、アクセス許可が厳密に制御され、セキュリティが強化されます。明示的な拒否ポリシーが存在する場合、それによってユーザーが許可されているアクションでも、拒否されることがあります。

したがって、正しい選択肢は A)です。

【正解】
B) ユーザーやロールの識別子を含む具体的な名前

【解説】
IAMポリシーの命名には具体的かつ説明的な名前を使用することが推奨されます。ユーザーやロールの識別子を含めることで、どのアイデンティティに対してポリシーが適用されるかを明確にすることができます。具体的な名前はポリシーの管理や保守を容易にし、可読性を高めるのに役立ちます。

複雑なランダムな名前や一般的な名前を使用すると、ポリシーを特定のアイデンティティに関連付けるのが困難になります。また、ポリシーを作成した日付を含めると、ポリシーの更新や変更があった場合に毎回名前を変更する必要が生じるため、適切な選択肢ではありません。