DVA-C02セキュリティHARD複数選択

ある企業は IAM ロールの Permission Boundary(アクセス許可境界)を活用したいと考えています。開発者に「自分の Lambda 関数用の IAM ロールを自分で作成する権限」を与えつつ、「自分が持っていない権限を持つロールを作れないようにしたい」という要件があります。この仕組みを正しく説明している記述を 2 つ選択してください。

  1. A. 開発者ロールに「iam:CreateRole は Permission Boundary として自社ポリシー ARN が設定されている場合のみ許可」という条件付きポリシーを付与することで、開発者が意図せず強力なロールを作成することを防止できる
  2. B. Permission Boundary を設定したロールは、Boundary に含まれるすべてのアクションを自動的に実行できる
  3. C. Service Control Policy(SCP)と Permission Boundary は同じ仕組みであり同時に使用できない
  4. D. Permission Boundary を設定すると、Identity-based Policy と Boundary の OR(和集合)が有効な権限になる
  5. E. Permission Boundary はロールやユーザーに設定でき、そのエンティティが実際に持てる最大の権限を定義する
解答と解説を見る

正解: A, E

E は正しい説明です。Permission Boundary はエンティティの最大権限の「上限(ceiling)」を設定し、実際の有効な権限は Identity-based Policy と Boundary の AND(積集合)になります。A も正しく、開発者が iam:CreateRole を実行できる条件として「iam:PermissionsBoundary 条件キーで特定の Boundary ポリシー ARN を指定することを必須化」する委任管理(Delegation)パターンです。D は誤りで、AND(積集合)が正しいです。B は誤りで、Boundary は上限を定義するだけで権限を自動付与しません。C も誤りで、SCP は Organizations レベルの制御、Permission Boundary はアカウント内の個別エンティティへの制御であり、別の仕組みで同時使用可能です。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題