CLF-C02#69(Security)
Amazon S3バケットまたはIAMロールが外部エンティティと共有されているかどうかを識別するAWSサービスまたは機能はどれですか?
正解:C
正解の根拠
AWS IAM Access Analyzer は、リソースベースポリシー(S3 バケットポリシー、IAM ロールの信頼ポリシー、KMS キーポリシーなど)を分析し、外部のアカウントや組織にアクセスを許可している箇所を自動的に検出して可視化します。意図せぬ外部共有を発見するための定常モニタリングに利用されます。
関連サービスの比較
| サービス | 主目的 |
|---|---|
| IAM Access Analyzer | 外部共有リソースの検出 |
| Service Catalog | 承認済みプロダクトの配布 |
| Systems Manager | 運用管理(パッチ・パラメータ等) |
| Organizations | マルチアカウント統制 |
不正解の理由
- A: Service Catalog は IT カタログで、共有関係の可視化機能はありません。
- B: Systems Manager は運用ツール群であり、ポリシー解析は対象外です。
- D: Organizations は SCP 等で組織統制を行いますが、共有検出は提供しません。
コメント