AWS CLF　問題917-920：ルートユーザーアクセスとIAMアクセス

【正解】
A) アカウントのルートユーザーのパスワードの更新
B) AWS サポートプランの変更
D) アカウント設定の変更 (例：連絡先情報、許可されたリージョン)

【解説】
AWSのルートユーザーは、AWSアカウントの最初のユーザーであり、アカウント全体の管理者です。ルートユーザーは以下のような特権を持っています。

A) アカウントのルートユーザーのパスワードの更新
ルートユーザーは自身のパスワードを変更することができます。

B) AWS サポートプランの変更
ルートユーザーはAWSサポートプランを変更する権限を持っています。

C) IAM ユーザーのアクセス許可の復元
これは正しくない選択肢です。IAMユーザーのアクセス許可の復元は、IAMユーザーの管理者が行う操作であり、ルートユーザーには直接関連しません。

D) アカウント設定の変更 (例：連絡先情報、許可されたリージョン)
ルートユーザーはアカウント設定を変更することができ、連絡先情報や許可されたリージョンなどを管理できます。

【正解】
A) ユーザー名とパスワード

【解説】
AWSのアカウントのルートユーザーにアクセスするためには、通常はユーザー名とパスワードが使用されます。これにより、AWSコンソールにログインしてアカウント全体の管理を行うことができます。

B) アクセスキーとシークレットアクセスキー
これはAWSリソースへのプログラムからのアクセスに使用される認証情報ですが、ルートユーザーによるコンソールアクセスには一般的に使用されません。

C) マルチファクタ認証 (MFA) デバイス
MFAデバイスは追加のセキュリティ層として使用されますが、ルートユーザーにログインするための主要な認証情報ではありません。

D) ロールの ARN
ロールのARN（Amazon Resource Name）は、アクセス権限を付与するための一時的な資格情報を提供するために使用されますが、ルートユーザーによるログインには一般的に使用されません。

【正解】
B) AWS サポートへの問い合わせ時

【解説】
アカウントのルートユーザーは、AWS サポートプランの変更やアカウント設定の変更など、特定の管理タスクを実行するために使用される場合があります。その中でも、AWS サポートへの問い合わせやサポートチケットの作成時には、アカウントのルートユーザーの認証情報が必要となります。

その他の選択肢に関しては、アカウントのルートユーザーの認証情報を使用することは推奨されていません。ルートユーザー以外のユーザーにアクセス許可を与える場合は、管理用ユーザーを作成し、IAM を使用してユーザーを作成し、適切な権限を割り当てるべきです。クラウドリソースのプロビジョニングや AWS マネジメントコンソールへのログインには、それぞれのユーザーアカウントに関連付けられた認証情報を使用することが推奨されています。

したがって、正しい選択肢は B) AWS サポートへの問い合わせ時です。

【正解】
C) IAMロールの適切な使用とポリシーの最小特権の原則に従う。

【解説】
AWS アカウントを使用する際のベストプラクティスとして、以下のアクションが推奨されています。

A) 定期的なセキュリティグループの削除と再作成
誤りです。セキュリティグループはネットワークアクセスの制御に使用される重要な要素であり、定期的な削除と再作成はセキュリティに悪影響を及ぼす可能性があります。

B) 同じルートパスワードを複数のIAMユーザーに共有
誤りです。パスワードの共有はセキュリティ上のリスクを引き起こす可能性があります。IAMユーザーはそれぞれ独自の認証情報を持つべきです。

C) IAMロールの適切な使用とポリシーの最小特権の原則に従う。
正解です。IAMロールはセキュアなアクセス制御のために使用され、ポリシーの最小特権の原則に従って必要な権限だけを割り当てることが重要です。

D) パブリックバケットでのデータ保管とS3バケットのACL無視
誤りです。パブリックバケットでのデータ保管はセキュリティ上のリスクを引き起こす可能性があり、S3バケットのアクセス制御リスト（ACL）を無視することはデータの漏洩リスクを高める可能性があります。