CLF-C02#168(Security)
企業が従業員の1人にAmazon RDSへのアクセスを提供したいと考えています。企業は、対話をAWS CLIとAWS ソフトウェア開発キット(SDK)のみに制限したいと考えています。最小権限の原則に従って、これらの要件を満たすために企業が取るべきアクションの組み合わせはどれですか?(2つ選択)
(2つ選択)
正解:B, E
正解の根拠
AWS CLI と SDK のみを利用させたい場合、IAM ユーザー作成時に「プログラムによるアクセス」のみを有効化し、コンソールパスワードを発行しません。さらに最小権限の原則に従い、必要なアクションだけを許可する Amazon RDS 専用 IAM ポリシーをアタッチします。これにより認証経路と権限スコープの両方が要件を満たします。
アクセス種別と最小権限
| 項目 | 適切な選択 |
|---|---|
| 認証手段 | プログラムアクセス (アクセスキー) |
| 権限範囲 | RDS のみのポリシー |
| 避けるべき | マネジメントコンソール、管理者権限 |
不正解の理由
- A: コンソールアクセスのみでは CLI/SDK で利用するアクセスキーが発行されず、要件を満たしません。
- C: IAM ロールはユーザーではなく、AWS サービスや一時的な引き受けに使うため、人へ恒久付与する用途に不適です。
- D: 管理者ポリシーは過剰権限となり、最小権限の原則に明確に違反します。
コメント