AWS認定資格 WEB問題集&徹底解説
ソリューションアーキテクト-プロフェッショナル
解説
C が正解です。クロスアカウントアクセス用の IAM ロールを作成することで、SaaS プロバイダーのアカウントがロールを引き受け、必要な最小限のアクセス権限を付与できます。これにより、セキュリティが確保され、第三者による不正使用を防ぐことができます。
A は正解ではありません。ルートアカウントの認証情報を共有することは、セキュリティ上極めて危険であり、AWS のベストプラクティスに反します。
B は正解ではありません。IAM ユーザーを作成し、その認証情報を共有することは、セキュリティリスクを伴います。長期的な認証情報の共有は避けるべきです。
D は正解ではありません。EC2 インスタンスの IAM ロールは、そのインスタンス上で実行されるアプリケーションにのみ適用されます。SaaS プロバイダーが別のアカウントで実行している場合、この方法は機能しません。
クロスアカウントアクセスロールを使用することで、一時的な認証情報を安全に提供し、必要最小限の権限を付与できるため、C が最も適切な解決策となります。
AWS Identity and Access Management (AWS IAM)
AWS マネジメントコンソール
A は正解ではありません。ルートアカウントの認証情報を共有することは、セキュリティ上極めて危険であり、AWS のベストプラクティスに反します。
B は正解ではありません。IAM ユーザーを作成し、その認証情報を共有することは、セキュリティリスクを伴います。長期的な認証情報の共有は避けるべきです。
D は正解ではありません。EC2 インスタンスの IAM ロールは、そのインスタンス上で実行されるアプリケーションにのみ適用されます。SaaS プロバイダーが別のアカウントで実行している場合、この方法は機能しません。
クロスアカウントアクセスロールを使用することで、一時的な認証情報を安全に提供し、必要最小限の権限を付与できるため、C が最も適切な解決策となります。
関連サービスの解説
Amazon EC2AWS Identity and Access Management (AWS IAM)
AWS マネジメントコンソール
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 63%
No.44 解説
企業は、サードパーティの SaaS アプリケーションを使用したいと考えています。SaaS アプリケーションは、企業のアカウント内で実行されている Amazon EC2 リソースを検出するために、いくつかの API コマンドを発行するためのアクセス権を持っている必要があります。 SaaS ベンダーが使用する資格情報が他の第三者によって使用されないようにする場所。これらの条件をすべて満たすのは次のうちどれ?
- AWS マネジメント コンソールから [Security Credentials] ページに移動し、アカウントのアクセス キーとシークレット キーを取得します。
- エンタープライズ アカウント内に IAM ユーザーを作成する SaaS アプリケーションが必要とするアクションのみを許可するユーザー ポリシーを IAM ユーザーに割り当て、ユーザーの新しいアクセス キーと秘密鍵を作成し、これらの資格情報を SaaS プロバイダーに提供します。
- クロスアカウントアクセス用のIAMロールを作成すると、SaaSプロバイダーのアカウントがロールを引き受け、SaaSアプリケーションに必要なアクションのみを許可するポリシーを割り当てることができます。
- EC2 インスタンスの IAM ロールを作成し、SaaS アプリケーションが機能するために必要なアクションのみを許可するポリシーを割り当て、ロール ARN を SaaS プロバイダーに提供して、アプリケーション インスタンスを起動するときに使用します。