CLF-C02#250(Security)
企業が別のAWSアカウントと共有されているAmazon S3バケットを識別したいと考えています。この要件を満たすAWSサービスまたは機能はどれですか?
正解:D
正解の根拠
IAM Access Analyzerは、リソースベースのポリシーを数学的アプローチで分析し、別アカウント、IAMロール、組織外、パブリックなど外部に共有されているS3バケットやIAMロール、KMSキー、Lambda関数などを自動で検出する機能です。意図しない共有を発見し、最小権限を維持するのに役立ちます。
類似サービス比較
| サービス | 役割 |
|---|---|
| IAM Access Analyzer | 外部共有リソースの検出 |
| IAM 認証情報レポート | ユーザー認証情報の状態レポート |
| Lake Formation | データレイクの権限管理 |
| CloudWatch | メトリクス/ログ監視 |
不正解の理由
- A: Lake Formationはデータレイクのアクセス制御で、共有バケットの可視化が目的ではありません。
- B: 認証情報レポートはユーザーごとのMFAやキー状態の一覧で、共有検出は行いません。
- C: CloudWatchはメトリクス・ログの監視サービスで権限解析機能は持ちません。
コメント