CLF-C02#240(Security)
セキュリティベストプラクティスに従って、Amazon EC2インスタンスにAmazon S3バケットへのアクセスをどのように付与すべきですか?
正解:C
正解の根拠
セキュリティのベストプラクティスは、長期認証情報を埋め込まず IAM ロールを EC2 インスタンスにアタッチすることです。インスタンスは一時的認証情報を自動取得し、アクセスキーの漏えいリスクを排除しつつ最小権限の原則で S3 にアクセスできます。
認証手段比較
| 方法 | セキュリティ |
|---|---|
| IAM ロール | 推奨/一時認証情報 |
| キーをハードコード | 漏えいリスク大 |
| キーをファイル保存 | 漏えいリスク |
| バケット全公開 | 不正アクセスリスク |
不正解の理由
- A: アクセスキーのハードコードは漏えい時に取り消し困難で原則違反です。
- B: テキストファイル保存は AMI/スナップショット流出時に認証情報が漏えいします。
- D: 全許可バケットポリシーは公開アクセスを招き、最小権限原則に大きく反します。
コメント