CLF-C02#104(Security)
企業が別のAWSアカウント内のリソースへのアクセスを1つのAWSアカウント内のユーザーに付与したいと考えています。ユーザーは現在リソースにアクセスする権限を持っていません。この要件を満たすAWSサービスはどれですか?
正解:B
正解の根拠
クロスアカウントアクセスの推奨方式は IAM ロールです。ターゲットアカウントでロールを作成し、信頼ポリシーで呼び出し元アカウントを許可、アクセス元ユーザーには sts:AssumeRole を許可するポリシーを付与します。これにより長期キー共有なしに一時クレデンシャルでアクセスできます。
IAM 構成要素の比較
| 要素 | 主目的 |
|---|---|
| IAM ロール | 一時的にアクセス権を委任 |
| IAM グループ | 同種ユーザーの権限まとめ |
| IAM タグ | 属性ベースの分類・ABAC |
| Access Analyzer | 共有検出 |
不正解の理由
- A: IAM グループはアカウント内ユーザーの権限管理用で、別アカウントへのアクセス委任には使えません。
- C: IAM タグは属性付与の仕組みで、それ自体がアクセス権を付与する手段ではありません。
- D: Access Analyzer は分析ツールであり、アクセス権を付与する機能ではありません。
コメント