Question#8(SCS-C01)
AWSアカウントには、bucket1とbucket2という2つのS3バケットが含まれています。bucket2にはポリシーが定義されていませんが、bucket1には以下のバケットポリシーが設定されています:
さらに、同じアカウントには「alice」という名前のIAMユーザーが存在し、以下のIAMポリシーがアタッチされています:
「alice」ユーザーはどのバケットにアクセスできますか?
正解:C
S3 のアクセス判定は「明示的 Deny がない」かつ「いずれかのポリシー(アイデンティティベース=IAM、リソースベース=バケットポリシー/ACL)が Allow していれば許可」されます。
- bucket1 は、バケットポリシーが
aliceを Allow しているため、IAM 側に bucket1 への許可がなくてもアクセス可能。 - bucket2 は、バケットポリシーがなくても、
aliceの IAMポリシーが Allow しているのでアクセス可能。 いずれにも 明示的 Deny が存在しない 前提のため、結果として 両方にアクセス可 となります。
コメント