AWS認定資格 WEB問題集&徹底解説
デベロッパー–アソシエイト(AWS Certified Developer - Associate)
解説
正解はD(ポリシーの1つに明示的な拒否が設定されているため、ユーザーはアクセスを拒否されます)です。AWS IAMでは、明示的な拒否が常に他の許可よりも優先されます。したがって、ポリシー1でEC2インスタンスへのすべてのアクセスが明示的に拒否されている場合、ポリシー2で特定のアクションが許可されていても、その拒否が優先されます。
選択肢 A:ポリシーの競合によりIAMユーザーが無効になることはありません。ポリシーの評価ルールに従って結果が決定されます。
選択肢 B:ポリシーの順序は結果に影響を与えません。明示的な拒否が常に優先されます。
選択肢 C:EC2:Describeアクションが明示的に許可されていても、全体的な拒否ポリシーがあるため、アクセスは拒否されます。
AWS Identity and Access Management (AWS IAM)
AWS Command Line Interface (AWS CLI)
選択肢 A:ポリシーの競合によりIAMユーザーが無効になることはありません。ポリシーの評価ルールに従って結果が決定されます。
選択肢 B:ポリシーの順序は結果に影響を与えません。明示的な拒否が常に優先されます。
選択肢 C:EC2:Describeアクションが明示的に許可されていても、全体的な拒否ポリシーがあるため、アクセスは拒否されます。
関連サービスの解説
Amazon EC2AWS Identity and Access Management (AWS IAM)
AWS Command Line Interface (AWS CLI)
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 38%
No.32 解説
IAMユーザーには2つのポリシーがアタッチされています。ポリシー1では、ユーザーによるEC2インスタンスへのすべてのアクセスが明示的に拒否されています。ポリシー2では、ユーザーにEC2:Describeアクションの権限が付与されています。このIAMユーザーがAWS CLIを使用してEC2インスタンスの「Describe」アクションを実行しようとした場合、どのような結果になりますか?
- IAMユーザーは、ポリシーの競合により無効な状態になっています
- ポリシーの順序により結果が変わります。ポリシー1が先に評価される場合はアクセス拒否、ポリシー2が先に評価される場合はアクセス許可となります
- EC2:Describeアクションが明示的に許可されているため、ユーザーはアクセスできます
- ポリシーの1つに明示的な拒否が設定されているため、ユーザーはアクセスを拒否されます