ある企業が Amazon SageMaker を使ってモデルをトレーニングしています。トレーニングジョブが S3 バケット内のデータセットを読み取るだけでよい場合、最小権限の原則に最も適合した IAM 設定はどれか。
- A. IAM ユーザーのアクセスキーをトレーニングスクリプト内にハードコーディングする
- B. SageMaker 実行ロールに対象の S3 バケットへの s3:GetObject と s3:ListBucket のみを許可するカスタムポリシーをアタッチする
- C. SageMaker 実行ロールに AdministratorAccess ポリシーをアタッチする
- D. SageMaker 実行ロールに AmazonS3FullAccess ポリシーをアタッチする
解答と解説を見る
正解: B
最小権限の原則では、タスクに必要な最低限の権限のみを付与する。トレーニングジョブがデータ読み取りだけを行うなら、対象バケットへの s3:GetObject と s3:ListBucket だけを許可するカスタムポリシーが最適。Cは過剰権限でリスクが高い。DのAmazonS3FullAccessは書き込み・削除も含まれ不要な権限が付与される。Aはアクセスキーのハードコーディングで認証情報が漏洩する重大なリスクがあり、IAMロールを使うべきで絶対に禁止される手法。
📚 関連サービスの解説: Amazon SageMaker ・ Amazon S3