Question#38(SCS-C01)

ある企業は AWS 上でワークロードを実行しています。ワークロードは 開発・テスト・本番の各 AWS アカウントで分離されています。

現在、各開発者ごとに各環境で個別の認証情報を管理しており、管理に多くの時間を費やしている状態です。セキュリティエンジニアは、よりスケーラブルなソリューションを実装しなければなりません。要件は次の通り：

どのソリューションがこれらの要件を満たすでしょうか？

A. AWS IAM Access Analyzer を使用して、開発者が各アカウントで必要とする権限を特定する。IAM Access Analyzer を構成して、各開発者に正しいアクセス権を自動的にプロビジョニングする。
B. Amazon Simple Workflow Service (Amazon SWF) のワークフローを作成する。開発者が追加アクセスを必要とするときは、そのワークフローを使用して他のアカウントへのアクセスをリクエストするよう指示する。
C. テストアカウントと本番アカウントに IAM ロールを作成する。そのロールに sts:AssumeRole アクションを許可するポリシーを追加する。開発アカウントに、テスト・本番アカウントへアクセスできる開発者用の IAM ロールを作成する。それらのロールを、テスト・本番アカウントの新しいロールの信頼ポリシーに追加する。
D. テスト環境と本番環境にサービスアカウントを作成する。アクセスキーをそれらの環境にアクセスが必要な開発者に渡す。アクセスキーは定期的にローテーションする。

正解：C

ベストプラクティスは「クロスアカウントアクセスを IAM ロールで管理し、sts:AssumeRole を使う」こと。

コメント