CLF-C02#331(Security)
企業が複数のAWSサービスを使用するアプリケーションを開発しています。アプリケーションは他のAWS APIでの認証のために、一時的で制限された権限の認証情報を使用する必要があります。この認証要件を満たすために企業が使用すべきAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
AWS Security Token Service(STS)は AssumeRole などの API を通じて、有効期限付きの一時的な認証情報(アクセスキー、シークレット、セッショントークン)を発行します。最小権限ポリシーをロールに付与すれば制限された権限のクレデンシャルを得られ、長期キーの埋め込みを避けられます。
認証情報の比較
| 種別 | 有効期限 | 用途 |
|---|---|---|
| STS 一時クレデンシャル | 短期 | クロスアカウント/フェデレーション |
| IAM ユーザーのアクセスキー | 長期 | 固定ユーザー用 |
| インスタンスプロファイル | 自動更新 | EC2 上のアプリ向け |
不正解の理由
- A: API Gateway は API 公開のためのフロントで、認証情報発行サービスではありません。
- B: IAM ユーザーは長期キーを保持する固定アイデンティティで、一時認証用途には不向きです。
- D: インスタンスプロファイルは EC2 専用で、内部的には STS を介して資格情報を提供しますが、汎用的な一時クレデンシャル発行サービス自体は STS です。
コメント