CLF-C02#193(Security)
企業がAWSアカウントのセキュリティを向上させるために取るべきアクションはどれですか?
正解:A
正解の根拠
特権ユーザー (ルートおよび管理権限を持つ IAM ユーザー) に多要素認証 (MFA) を必須化することは、認証情報の漏えいによる不正アクセス被害を大幅に減らせる基本的かつ強力な対策で、AWS のベストプラクティスとして明示的に推奨されています。MFA はパスワードに加えて時刻ベースワンタイムトークンや FIDO2 デバイスを要求します。
ルート保護のベストプラクティス
| 項目 | 推奨 |
|---|---|
| MFA | ルート/特権ユーザーに必須化 |
| ルートのアクセスキー | 作成しない・既存は削除 |
| 日常運用 | IAM ユーザー/Identity Center を使用 |
不正解の理由
- B: ルートユーザーアカウントは削除できず、AWS 契約上常に存在します。保護して使わないのが正解です。
- C: ルート用アクセスキー作成は最も避けるべき行為で、漏えい時の影響が最大です。
- D: 個別アクセスキー量産はキー管理リスクを増やし、コンソール用途には MFA 付きパスワードを使うべきです。
コメント