CLF-C02#123(Security)
企業が複数のAmazon EC2インスタンス上でアプリケーションをホストしています。アプリケーションはメッセージを送信するためにAmazon Simple Notification Service (Amazon SNS)を使用しています。アプリケーションに必要なAWSサービスへのアクセス権限を付与するAWSサービスまたは機能はどれですか?
正解:B
正解の根拠
EC2上のアプリからAWSサービスへ安全にアクセスさせるには、インスタンスにIAMロールをアタッチし、メタデータサービス経由で短時間の一時認証情報を取得させる方式が標準です。長期アクセスキーをコードに保持する必要がなく、SNS Publishなど必要な権限のみを最小権限で付与できます。
権限付与方式の比較
| 方式 | 利点 |
|---|---|
| IAM ロール(推奨) | 一時認証で安全・自動更新 |
| 長期アクセスキー | 非推奨(漏洩リスク) |
| Secrets Manager 経由 | サードパーティ向け資格情報管理 |
不正解の理由
- A: ACMはTLS証明書管理で、サービスへのアクセス権付与とは無関係です。
- C: Security Hubはセキュリティ検出統合で、権限を付与する機能はありません。
- D: GuardDutyは脅威検知で、APIアクセス権限の付与とは関係ありません。
コメント