A正解
AWS IAM のロールとポリシー
正解。AWS IAM は、ロールとポリシーによって「誰が・どのリソースに・何を」できるかを定義する仕組みです。最小権限の原則に沿って、Bedrock などへのアクセスをきめ細かく制御できます。
ある企業が、Bedrock を使う AI アプリに対して、どのユーザーやアプリケーションがアクセスできるかをきめ細かく制御したいと考えています。最も適切な AWS の機能はどれですか。
1 / 1
回答を選択してください
正解A
解説
AI システムへのアクセスを制御する AWS 機能を選ぶ問題。
- 1「どのユーザーやアプリケーションがアクセスできるか」誰が何にアクセスできるか を定義する仕組みが要る
- 2「きめ細かく制御」ロールとポリシーで権限を絞る IAM が該当
B不正解
Amazon Macie
Amazon Macie は、S3 上の機密データ(個人情報など)を検出・分類するデータセキュリティサービスです。
機密データの発見が用途で、アクセス権限そのものを制御する機能ではないため不正解です。
C不正解
AWS KMS
AWS KMS は、データの暗号化キーを作成・管理するサービスです。
同じセキュリティ領域のサービスですが、守るのはデータの中身(暗号化)であり、『誰がアクセスできるか』という権限の定義は IAM の役割のため不正解です。
D不正解
Amazon GuardDuty
Amazon GuardDuty は、CloudTrail・VPC フローログ・DNS ログなどを機械学習や脅威インテリジェンスで継続的に分析し、アカウントやワークロードへの脅威を自動で検出するマネージドの脅威検知サービスです。例えば不審な API 呼び出し、想定外の地域からのアクセス、侵害された可能性のある認証情報の利用などを検知し、重大度付きの結果(findings)として通知します。
あくまで脅威を検知して知らせる役割であり、誰がアクセスできるかを事前に定義・制御する機能ではないため不正解です(アクセス権の定義は IAM の役割)。
ポイント
『誰が・どのリソースに・何をできるか』の制御はIAM(ロールとポリシー)で、最小権限の原則の基礎です。同じセキュリティ領域でも、Macie は機密データの検出、KMS は暗号化キーの管理、GuardDuty は脅威の検出と役割が分かれており、アクセス権限そのものを定義できるのは IAM だけです。