Question#14(SCS-C01)
あるコンサルティング会社が、ある企業の本番 AWS アカウントに対してセキュリティ監査を実施する必要があります。複数のコンサルタントがそのアカウントにアクセスする必要があります。コンサルティング会社はすでに自社の AWS アカウントを持っています。
会社側の要件は以下の通りです:- 本番アカウントへのすべてのアクセスで MFA が必須。
- 長期認証情報(アクセスキーやIAMユーザーのパスワード)の利用は禁止。
正解:D
ベストプラクティス通り。コンサルティング会社が一時的にロールを引き受け(AssumeRole)、MFA 必須を条件にすることで要件を完全に満たす。
解説
- 要件のポイント
- コンサルタントには一時的なアクセス権限を付与する(長期認証情報は禁止 → IAMユーザーは不可)。
- アクセスには MFA が必須。
- コンサルティング会社はすでに自分の AWS アカウントを持っている。
- クロスアカウントアクセスのベストプラクティス
- アクセス先のアカウント(ここでは企業の本番アカウント)に IAM ロールを作成する。
- 信頼ポリシー(trust policy) で「コンサルティング会社の AWS アカウントを信頼する」と定義する。
- 条件 (Condition) で
aws:MultiFactorAuthPresent:trueを設定すれば MFA を必須にできる。 - こうすることで、コンサルタントは自分たちのアカウントから STS AssumeRole を使い、一時的なセッション認証情報を取得してアクセスする。
コメント