ACE#1(access-security)
ある製造業の管理者は、新入社員 20 名に対して Google Cloud プロジェクト内の Cloud Storage バケットのオブジェクト読み取り権限のみを付与する必要があります。Google が推奨する最小権限の原則に従って権限を付与する場合、最適な IAM ロールはどれですか?
正解:A
正解の根拠
最小権限の原則を満たすには、必要最小限の権限を持つ Predefined ロールをリソース単位で付与することが推奨されます。roles/storage.objectViewer はオブジェクトの読み取り権限のみを含み、対象バケットのみに範囲を限定できるため、20 名の閲覧用途に最適です。Basic ロールはプロジェクト全体に広範な権限を付与してしまうため避けるべきです。
サービス比較
| 項目 | 正解 (objectViewer/バケット) | 不正解 (viewer/プロジェクト) |
|---|---|---|
| 範囲 | 単一バケットに限定 | プロジェクト全リソース |
| 原則適合 | 最小権限に合致 | 過剰権限となる |
不正解の理由
- B: roles/viewer はプロジェクト内の全リソースに対する閲覧権限を付与するため最小権限に反します。
- C: roles/editor は書き込みや削除も含む過剰な権限であり、閲覧用途には不適切です。
- D: roles/storage.admin はバケット管理権限を含み、読み取りのみの要件を大きく超えます。
参考:IAM のロールについて
コメント