CLF-C02#138(Security)
ユーザーがAmazon EC2インスタンス上で実行されているアプリケーションが他のAWSサービスへの呼び出しを行うことを許可したいと考えています。付与されるアクセスは安全でなければなりません。使用すべきAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
EC2 上のアプリから他の AWS サービスを安全に呼び出すには、IAM ロールをインスタンスプロファイルとしてアタッチします。インスタンスメタデータ経由で短期間の一時認証情報が自動配布・自動更新されるため、長期キーをコードや構成に埋め込む必要がなく安全です。
EC2 認証手段の比較
| 手段 | 特徴 |
|---|---|
| IAM ロール | 一時クレデンシャル、自動更新、推奨 |
| 長期アクセスキー埋め込み | 漏えい・ローテ困難で非推奨 |
| SSH キー | OS ログイン用で API 認証不可 |
不正解の理由
- A: セキュリティグループはネットワーク制御で、API 認証情報の付与機能はありません。
- B: Firewall Manager はポリシー集中管理で、認証用途ではありません。
- D: SSH キーは OS ログイン用で、AWS API への認証には使えません。
コメント