SCS-C02#4(identity-access)

セキュリティエンジニアは ABAC を採用し、開発者が自身のプロジェクトタグが付いた EC2 インスタンスのみ起動・停止できるようにしたいと考えています。プロジェクトが追加されてもポリシーを変更せず運用したいです。

どのポリシー条件が要件を満たしますか。

A. aws:PrincipalTag/Project と aws:ResourceTag/Project が一致する条件を Allow に含めます。
B. aws:SourceIp が会社の IP 範囲に含まれる条件を Allow に含め、社外ネットワークから操作不能にすることで権限境界として代替的に機能させます。
C. aws:CurrentTime が営業時間内である条件を Allow に含め、夜間や休日の操作を一律禁止することでプロジェクト単位の責任分界を疑似的に表現します。
D. aws:MultiFactorAuthPresent が true である条件を Allow に含め、強い認証下でのみ操作可能とすることでプロジェクト単位アクセスを暗黙的に制御します。

正解と解説ディスカッション 0

正解：A

正解の根拠

ABAC では、プリンシパルに付与されたタグ (aws:PrincipalTag) とリソースに付与されたタグ (aws:ResourceTag) を比較する条件キーを使い、一致時のみ許可するポリシーを記述します。プロジェクトが増えても、ユーザー/リソース双方に同じタグキーを付ければポリシー変更なしでスケールできます。

不正解の理由

B: IP 制限はネットワーク条件で、プロジェクト単位のリソース所有制御ではありません。
C: 時刻条件は営業時間制御で、プロジェクト所有者の検証は実現できません。
D: MFA 条件は強い認証強制で、プロジェクト一致の検証要件と無関係です。

参考：ABAC の概要

SCS-C02#4(identity-access)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル