A正解
日常業務には使わず MFA を有効化し、認証情報を厳重に保管する
正解。ルートユーザーはアカウント内で最も強力な権限を持つため、日常業務には使わず、必要な作業は権限を絞った IAM ユーザーやロールで行います。ルートには MFA を有効化し、認証情報を厳重に保管するのがベストプラクティスです。
AWS アカウントのルートユーザーの取り扱いに関するベストプラクティスとして最も適切なものはどれですか。
1 / 1
回答を選択してください
正解A
解説
ルートユーザーの正しい取り扱い(ベストプラクティス)を選ぶ問題。
- 1「ルートユーザー」アカウント内で最も強力な権限を持つ最上位アカウント
- 2「ベストプラクティス」日常で使わず MFA と厳重保管で保護する
B不正解
開発者全員にルートユーザーの認証情報を共有する
ルートユーザーは最高権限を持つため、認証情報を共有すると重大なリスクになります。
誰が操作したかも追跡できず、ベストプラクティスとは正反対のため不正解です。
C不正解
普段の運用作業をすべてルートユーザーで行う
ルートユーザーでの日常運用は、誤操作や漏洩時の被害が甚大になります。
日常作業は最小権限の IAM ユーザーで行うべきであり不正解です。
D不正解
ルートユーザーの MFA は無効にしておく
ルートユーザーこそ最も保護すべきアカウントであり、MFA を無効にするのは危険です。
ベストプラクティスは MFA の有効化のため不正解です。
ポイント
ルートユーザーは 日常で使わない / MFA を有効化 / 認証情報を厳重保管 / 日常は最小権限の IAM を使う が鉄則。共有・日常運用・MFA 無効はいずれも危険なアンチパターン。
・MFA(多要素認証): パスワードに加えてワンタイムコードなど別の要素も求め、本人確認を強化する仕組み。
・SSO(シングルサインオン): 一度の認証で複数のアカウントやアプリにログインできる仕組み(AWS では IAM Identity Center が提供)。