ある企業が、社内の従業員が AWS リソースにアクセスする際のパスワードポリシーを強化したい。IAM ユーザーのパスワードに関して、最低 12 文字・英数字混在・大文字小文字混在・特殊文字必須・90 日ごとの変更強制を設定したい。最も適切な設定場所はどれか。
- A. AWS アカウントの IAM パスワードポリシー(Account Password Policy)をアカウントレベルで設定し、アカウント内のすべての IAM ユーザーに一律に適用する。
- B. Amazon Cognito のユーザープールポリシーでパスワード要件を設定する。
- C. 各 IAM ユーザーのプロパティ画面で個別にパスワードポリシーを設定する。
- D. AWS Organizations の SCP でパスワードポリシーを設定する。
解答と解説を見る
正解: A
IAM のアカウントパスワードポリシー(Account Password Policy)は、AWS アカウント全体のすべての IAM ユーザーに適用されるパスワード要件を一元設定する機能である。最小文字数・文字種要件・有効期間・再利用防止などを IAM コンソールまたは CLI(update-account-password-policy)で設定できる。選択肢Cは IAM ユーザーごとの個別設定は不可能(パスワードポリシーはアカウントレベルの設定)。IAM コンソールのユーザー個別プロパティにパスワードポリシーを設定する画面は存在しない。選択肢DのSCP はサービスのアクション(API コール)の許可/拒否に使うものであり、パスワードポリシーの設定はアカウントレベルの IAM パスワードポリシーで行う。選択肢BのCognito はアプリケーションユーザー向けのアイデンティティ管理であり、AWS マネジメントコンソールへのアクセスに使う IAM ユーザーのパスワードポリシーには適用されない。
📚 関連サービスの解説: AWS IAM