CLF-C02#208(Security)
企業がIAMロールの代わりにIAMユーザーを作成する必要がある状況はどれですか?
正解の根拠
IAMユーザーは、長期的な認証情報を持つ個別のアイデンティティで、特定の人や個人用ワークロードに紐づけて作成します。一方、IAMロールは一時的な権限委任を目的とし、EC2上のアプリ、モバイル/フェデレーション認証、グループ用途では推奨されます。「個人用のAWS認証情報」を作るケースが、ユーザーを作成する典型シナリオです。
使い分け 比較
| 状況 | 推奨 |
|---|---|
| 個人用の認証情報 | IAMユーザー |
| EC2上のアプリ | IAMロール |
| モバイルアプリ | Cognito + ロール |
| フェデレーションSSO | IAMロール (STS) |
不正解の理由
- A: EC2上のアプリにはIAMロールをアタッチするのが安全な定石です。
- C: モバイルアプリには長期キーを埋め込まず、CognitoとSTSの一時クレデンシャルが推奨です。
- D: グループ追加自体は理由にならず、ユーザーを作る目的にはなりません。
- E: 既に企業認証されたユーザーにはフェデレーションでロールを引き受けさせる方法が適切です。
参考:IAM アイデンティティ
コメント