Question#8(SAP-C02)

ある会社は GitHub Actions を用いて、AWS 上のリソースにアクセスする CI/CD パイプラインを実行しています。現在は IAM ユーザーのアクセスキー（長期秘密鍵）をパイプライン内で使って AWS に認証しています。必要な権限は、既存の IAM ロールにアタッチされたポリシーで付与されています。

会社のセキュリティチームが「パイプラインで長期の秘密鍵を使用してはならない」という新要件を定めました。ソリューションアーキテクトは、この秘密鍵を短期利用の手段に置き換える必要があります。最小の運用オーバーヘッドでこの要件を満たす解はどれですか？

A. AWS Identity and Access Management（IAM）で SAML 2.0 アイデンティティプロバイダ（IdP）を作成する。sts:AssumeRole を許可する信頼ポリシーを持つ新しい IAM ロールを作成し、既存の IAM ポリシーを付与する。GitHub を SAML 認証で更新する。
B. IAM で OpenID Connect（OIDC）アイデンティティプロバイダを作成する。GitHub の OIDC IdP からの sts:AssumeRoleWithWebIdentity を許可する信頼ポリシーを持つ新しい IAM ロールを作成する。パイプラインからそのロールを引き受けるよう GitHub を設定する。
C. Amazon Cognito ID プールを作成し、認証プロバイダに GitHub を設定する。GitHub 認証プロバイダからの sts:AssumeRoleWithWebIdentity を許可する信頼ポリシーを持つ新しい IAM ロールを作成する。パイプラインの認証プロバイダとして Cognito を使用する。
D. AWS Private CA にトラストアンカーを作成し、AWS IAM Roles Anywhere 用のクライアント証明書を発行する。sts:AssumeRole を許可する信頼ポリシーを持つ新しい IAM ロールを作成し、既存の IAM ポリシーを付与する。パイプラインでクレデンシャルヘルパーと公開鍵を用いてロールを引き受けるよう構成する。

正解と解説ディスカッション 0

正解：B

要件は「長期アクセスキーを廃止し、短期認証情報で GitHub Actions から AWS に安全にアクセスする」ことと「運用オーバーヘッドを最小化する」ことです。GitHub Actions は OIDC フェデレーションをネイティブ対応しており、ワークフローの実行時に GitHub が発行する **OIDC トークン（issuer: https://token.actions.githubusercontent.com）**を IAM の OIDC アイデンティティプロバイダで検証し、条件（aud、sub によるリポジトリ／ブランチ／環境の絞り込み）を満たした場合に sts:AssumeRoleWithWebIdentity で短期クレデンシャルを払い出せます。これによりリポジトリに秘密鍵を保存する必要がなくなり、キーローテーション運用も不要です。設定は IdP 登録と信頼ポリシー作成、そして GitHub 側の permissions／role-to-assume 設定だけで完了し、最小の運用負荷で要件を満たします。したがって B が最適解です。

Question#8(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル