SCSC03-IAM#1
ある企業は、オンプレミスのデータセンターで稼働するサーバー群から AWS API を呼び出す必要があります。長期的なアクセスキーをサーバーに保存せず、一時的な認証情報を使用してセキュリティを高めたいと考えています。最も適切なソリューションはどれですか。
解説
【正解: A】の理由
AWS IAM Roles Anywhere は、AWS の外部(オンプレミスのサーバーやコンテナなど)で稼働するワークロードに対して、公開鍵基盤(PKI)の X.509 証明書を用いて IAM ロールの一時的なセキュリティ認証情報を取得させる仕組みです。事前に信頼アンカー(証明書機関)とプロファイルを構成し、サーバーは自身の証明書で認証を受けると、AWS STS を通じて短期間の認証情報を受け取ります。これにより、長期的なアクセスキーをサーバーに保存する必要がなくなり、鍵の漏えいリスクと運用負荷を大幅に低減できます。要件である「長期キーを保存せず一時認証情報を使う」を、オンプレミス環境に対して満たす標準的な方法です。
【他選択肢が違う理由】
- B: 長期アクセスキーをサーバーに保存する方式で、一時認証情報を使うという要件に反し、漏えいリスクも高くなります。
- C: ルートユーザーのアクセスキーは発行・共有すべきではなく、最小権限にも反する重大なアンチパターンです。
- D: インスタンスプロファイルは Amazon EC2 インスタンス専用で、オンプレミスのサーバーには適用できません。

コメント
コメント一覧 (1件)
サンプルコメント