SCS-C02#1(identity-access)
ある企業は IAM ロールを使用して、Amazon EC2 インスタンスから S3 バケットへの読み取りを許可しています。バケット所有者は別の AWS アカウントです。バケットポリシーでロール ARN に対する s3:GetObject を許可していますが、アクセスは拒否されます。CloudTrail には AccessDenied と表示されています。セキュリティエンジニアは原因を最も効率的に特定する必要があります。
どの解決策が要件を満たしますか。
正解:B
正解の根拠
クロスアカウント S3 アクセスでは、リクエスタ側の identity-based policy と所有者側の resource-based policy の両方で許可が必要です。バケットポリシーで許可があっても IAM ロール側で s3:GetObject が許可されていなければ AccessDenied になります。両側のポリシーの和集合ではなく積集合に近い評価が行われるため、まず IAM ロール側の権限を確認するのが最短ルートです。
不正解の理由
- A: SG はネットワーク層の制御であり、S3 への HTTPS アウトバウンドは通常許可済みで AccessDenied の原因ではありません。
- C: Block Public Access の解除はセキュリティを大幅に低下させ、原則としての禁則であり対処になりません。
- D: クロスアカウント設計の放棄は要件外であり、根本原因の特定にもなりません。
コメント