ある企業のセキュリティ担当者は IAM ポリシーの Condition 要素を活用して精緻なアクセス制御を実装したいと考えています。「特定の S3 バケット ARN パターン(プレフィックス一致)に対してのみ操作を許可したい」場合と「特定のタグキーと値の完全一致でリソースを制限したい」場合のそれぞれに、最も適切な Condition 演算子の組み合わせを 2 つ選択してください。
- A. ARN パターンのプレフィックス一致には ArnLike を使い、ARN パターンにワイルドカードを含める
- B. タグ値の完全一致には StringEquals を使ってタグキーと値を指定する
- C. ARN パターンのプレフィックス一致には StringLike を使い、ワイルドカード(*)でプレフィックスを表現する
- D. ARN パターンのプレフィックス一致には ArnNotLike を使って除外パターンを指定する
- E. タグ値の完全一致には ArnEquals を使ってタグ値を指定する
解答と解説を見る
正解: A, B
ArnLike は ARN 値に対してパターンマッチングを行う演算子で、ワイルドカード(* と ?)を ARN の各セグメント内で使用できます。S3 バケット ARN のプレフィックス一致(例: arn:aws:s3:::prod-*)には ArnLike が適切です。StringEquals はタグ値のような文字列の完全一致に最適で、aws:RequestedRegion や aws:ResourceTag/KeyName などの条件キーと組み合わせます。C の StringLike は文字列のパターンマッチングですが、ARN は ArnLike で扱うのが正しい設計です(ARN のフォーマット正規化が考慮されます)。E の ArnEquals は ARN の完全一致に使うもので、タグ値には適しません。D の ArnNotLike は許可の拡張ではなく除外制御のために使うものであり今回の要件とは逆です。