CLF-C02#357(Security)
開発者がAWSユーザーに一時的なセキュリティ認証情報を使用してAWSサービスにアクセスさせたいと考えています。これらの認証情報を提供するために開発者が使用すべきAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
AWS Security Token Service(STS)は、AssumeRoleやGetSessionTokenなどのAPIを通じて短期間有効な一時的セキュリティ認証情報(アクセスキー、シークレットキー、セッショントークン)を発行するサービスです。クロスアカウントアクセスやフェデレーションユーザーに対し、長期キーの配布なしで安全にAWSリソースアクセスを許可できます。
認証情報・アクセス管理サービス比較
| サービス | 主な役割 |
|---|---|
| AWS STS | 一時認証情報の発行 |
| IAMポリシー | アクセス権限の宣言 |
| IAMユーザーグループ | 長期ユーザーの権限束ね |
| IAM Identity Center | SSOによる人間ユーザーの一元認証 |
不正解の理由
- A: ポリシーは権限を定義するJSONドキュメントであり、認証情報そのものを発行しません。
- B: グループは権限管理の単位で、一時認証情報の発行機能はありません。
- D: IAM Identity CenterはSSOが目的で、内部的にSTSを利用しますが直接の発行機能ではありません。
コメント