CLF-C02#291(Security)
企業に異なる職務役割と責任を持つチームがあります。企業の従業員は頻繁にチームを変更します。企業は、権限が職務責任に適切であるように、従業員の権限を管理する必要があります。最小の運用オーバーヘッドでこの要件を満たすために企業が使用すべきIAMリソースはどれですか?
正解:A
正解の根拠
IAMユーザーグループは複数ユーザーをまとめて同じポリシーを適用できる仕組みです。職務役割ごとにグループを作りポリシーをアタッチしておけば、メンバーの異動時はユーザーをグループ間で移動するだけで権限を切り替えられ、運用オーバーヘッドが最小化できます。
IAM 権限管理手段の比較
| 手段 | 適合シナリオ |
|---|---|
| ユーザーグループ | 職務単位のユーザー権限管理 |
| IAM ロール | サービスや一時的な権限委任 |
| インスタンスプロファイル | EC2 へのロール付与 |
| 個別ポリシー | 例外的な個別権限 |
不正解の理由
- B: IAMロールはサービスや一時的なフェデレーションIDが想定で、個人ユーザーに直接ぶら下がりません。
- C: インスタンスプロファイルはEC2にロールを渡す仕組みで、人の権限管理には使いません。
- D: ユーザーごとのポリシー直貼りは管理コストが増え、異動時の漏れを生みやすいです。
参考:IAM ユーザーグループ
コメント