A不正解
権限不足で作業が止まらないよう、開発者全員に PowerUserAccess を標準で付与する
PowerUserAccess は IAM 管理以外のほぼすべての操作を許可する 非常に広い権限のマネージドポリシー です。
作業効率を理由に広い権限を標準付与するのは 最小権限の原則 に反し、誤操作や認証情報漏えい時の影響範囲が大きくなるため不正解です。
AWS アカウントのセキュリティを高める IAM のベストプラクティスとして適切なものを 2 つ選んでください。
1 / 1
複数選択してください
正解B, C
解説
IAM のセキュリティ・ベストプラクティスを 2 つ選ぶ問題。
- 1「セキュリティを高める」漏洩・不正アクセスのリスクを下げる施策
- 2「ベストプラクティス」MFA 有効化・最小権限などの推奨運用
B正解
特権を持つユーザーとルートユーザーに MFA を有効化する
正解。MFA(多要素認証)とは、パスワードに加えて認証アプリのワンタイムコードなど別の確認手段を組み合わせてサインインする仕組みです。特権ユーザーとルートユーザーに MFA を有効化すると、パスワード漏洩時も不正ログインを防ぎやすくなります。重要なアカウントほど MFA が推奨されます。
C正解
利用者には業務に必要な最小限の権限だけを付与する
正解。最小権限の原則に従い、必要な操作だけを許可することで、漏洩や誤操作時の被害範囲を最小化できます。IAM 設計の基本です。
D不正解
アプリケーションには IAM ロールではなく長期のアクセスキーを発行して使う
長期のアクセスキーは ローテーションや失効の管理を人手で行う必要があり、漏えい時に長期間悪用されるリスク があります。
EC2 上のアプリには IAM ロールによる一時的な認証情報 を使うのがベストプラクティスであり、長期キーの常用は推奨されないため不正解です。
E不正解
ルートユーザーに MFA を設定すれば、IAM ユーザーへの MFA は省略してよい
ルートユーザーへの MFA 設定自体は正しいベストプラクティスですが、特権を持つ IAM ユーザーも乗っ取られれば大きな被害につながる ため、MFA の対象から外せません。
MFA は ルートに加えて特権ユーザーにも 有効化するのが推奨であり、省略してよいとする点が誤りのため不正解です。
ポイント
IAM ベストプラクティス: 特権/ルートに MFA、最小権限の付与、ルート日常利用回避、アクセスキーのハードコード禁止、ロール・一時認証情報の活用。