AWS IAMとは
AWSリソースへのアクセスを安全に制御するサービス。ユーザー・グループ・ロール・ポリシーの4つの主要概念で権限を管理する。ポリシーはJSON形式で記述し、Effect・Action・Resource・Conditionで精密なアクセス制御を実現する。
IAMロールは一時的な認証情報(STS AssumeRole)を使い、EC2・Lambda・ECSタスク・クロスアカウントアクセス等に権限を付与する。最小権限の原則(Least Privilege)が設計の基本。
試験での問われ方
SAAでは「クロスアカウントアクセス」「EC2からS3へのアクセス」「IAMポリシーの評価順序(明示的Denyが最優先)」が頻出。IAMユーザーではなくロールを使う場面の判断が問われる。
境界ポリシー(Permissions Boundary)・SCPとIAMポリシーの評価順序・ロールの信頼ポリシー(Who can assume)と権限ポリシー(What can do)の区別はSAP・SCSの重要トピック。
長期的なアクセスキー(IAMユーザー)の使用を避け、IAMロールと一時認証情報を使うセキュリティベストプラクティスが問われる。MFAの強制もCondition要素で実装する。
このサービスが登場する演習問題(38問)
- 【CLF-C02】ある金融機関が、AWSの「Well-Architectedフレームワーク」の「セキュリティ」の柱に基づいてシステムを設計…
- 【CLF-C02】ある企業のセキュリティ担当者が、AWSルートアカウントの保護方法を検討しています。AWSが推奨するルートアカウントの保護…
- 【CLF-C02】ある企業が、複数の開発者がAWSリソースにアクセスする仕組みを設計しています。AWSのIAM(Identity and …
- 【CLF-C02】ある企業が、EC2インスタンスからS3バケットにアクセスする安全な方法を設計しています。アクセスキーをコード内に埋め込ま…
- 【CLF-C02】ある企業のセキュリティ担当者が、IAMのベストプラクティスを実装しようとしています。推奨されるセキュリティ対策として正し…
- 【CLF-C02】ある企業が、AWSアカウントのセキュリティ強化を進めています。責任共有モデルに基づいて、顧客(ユーザー)が担うセキュリテ…
- 【AIF-C01】ある企業が複数の部門で Amazon Bedrock を利用する生成 AI アプリケーションを開発している。各部門が特定…
- 【AIF-C01】ある企業が RAG(検索拡張生成)アーキテクチャを使って社内ナレッジベースに基づく Q&A システムを構築している。悪意…
- 【AIF-C01】ある企業が Amazon SageMaker パイプラインを使って機械学習ワークフローを自動化している。セキュリティ審査…
- 【SAA-C03】ある企業が、EC2 インスタンス上で動作するアプリケーションから Amazon S3 バケットにアクセスする必要がある。…
- 【SAA-C03】ある企業が、複数の開発者が共有で使用する S3 バケットを管理している。各開発者は自分のプレフィックス(/dev/<ユー…
- 【SAA-C03】ある企業が、EC2 インスタンス上でデータ処理アプリケーションを運用している。アプリケーションが使用する S3 バケット…
- 【SAA-C03】ある企業が、AWS マネジメントコンソールへのすべてのアクセスに対して多要素認証(MFA)を必須にしたい。特に、MFA …
- 【SAA-C03】ある企業が、Amazon EKS クラスター上で動作するマイクロサービスに対して、Kubernetes Pod ごとに異…
- 【SAA-C03】ある企業が、EC2 インスタンスで動作するアプリケーションが AWS API を呼び出す際に、特定のリージョンと特定のサ…
- 【SAA-C03】ある企業が、Amazon Cognito ユーザープールを使ったモバイルアプリを運用している。ユーザーがサインインした後…
- 【SAA-C03】ある企業が、複数の AWS アカウントにわたるリソースへのアクセスを Lambda 関数から行う必要がある。Lambda…
- 【SAA-C03】ある企業が、AWS で HIPAA 準拠のアーキテクチャを設計している。EHR(電子健康記録)データを S3 に保存し、…
- 【SAA-C03】ある企業が、社内の従業員が AWS リソースにアクセスする際のパスワードポリシーを強化したい。IAM ユーザーのパスワー…
- 【SAA-C03】ある企業が、Amazon S3 バケットを使ったデータレイクを構築しており、異なるチームに対してデータへのアクセス制御を…