' P '

whatever I will forget

AWS Cloud Practitioner IAM Authentication Section

AWS

IAM / 認証

|| Q. ある企業が、複数の EC2 インスタンスにホストされたWEBアプリケーションを開発しています。このアプリケーションでは、Amazon SNSを利用した配信処理機能が必要です。これを利用するためには、アプリケーションへの適切な権限設定が求められます。どのように権限を付与すればよいでしょうか?

IAMロールをEC2インスタンスに付与する
  • IAM ロールは、特定のアクセス権限を持つ IAMエンティティです.
  • IAM ロールを使用することで、AWS リソースに他のリソースへのアクセス権限を付与することができます.

  • IAMロールをアプリケーションをホストしているEC2インスタンスに付与することで、EC2インスタンスからAmazon SNSを起動して、メッセージ通知を実施する機能をアプリケーションに組み込むことができます.

  • IAMポリシーを直接EC2インスタンスに付与することはできません。

Q. AWSリソースに対して一時的な認証情報を提供する機能は何?

AWS Security Token Service (AWS STS): AWS サービスへのアクセスに使用できる一時的な限定権限認証情報を提供するサービスです。
  • デフォルトでは、AWS STShttps://sts.amazonaws.com に 1 つのエンドポイントのあるグローバルサービスです.
  • 他のサポートされているリージョンにあるエンドポイントへの AWS STS API 呼び出しを実行することもできます.

qiita.com

|| Q. AWSリソースに他のリソースへのアクセス許可を割り当てるために使用できるIAMエンティティはどれ?

IAM ロール: 特定のアクセス権限を持つ IAMエンティティです。
  • IAM エンティティとはユーザーまたはロールのこと.
  • IAM ロールを使用することで、AWS リソースに他のリソースへのアクセス権限を付与することができます.
  • 通常は AWS リソースへのアクセス権のないユーザー、アプリケーション、サービスにそのアクセス権を移譲することもできます.
  • たとえば、ある AWS アカウントのユーザーに、別のアカウントのリソースに対するアクセス許可を移譲したりできます.

Q. AWSサービスへのプログラム呼び出しを認証するために使用される、認証方法を選択してください

アクセスキー とシークレットアクセスキー: AWSサービスへのプログラム呼び出しを認証するために使用される。
  • AWS サービス側でアクセスリクエストを認可するためにアクセスキー ID とシークレットアクセスキーを使ってリクエストに署名することができます.
  • アクセスキーとシークレットアクセスキーはIAMのユーザー管理画面で作成することができます.
  • これを設定することで、AWS CLIなどのプログラムアクセス用のツールを認証することが可能.

Q. 会社が新規に作成するAWSアカウントをコントロールして、アカウント内のエンティティに必要なAWSサービスへのアクセスのみに許可を与える必要があります。どのサービスを利用するべきですか?

AWS Organizations: 複数のAWSアカウントの統合管理を実施するサービスです。
  • 個々のAWSアカウント内部で利用可能な権限範囲を管理することができます.
  • AWS Organizationsでは、1つのAWSアカウントをマスターアカウントに設定して、他のAWSアカウント(メンバーアカウントと呼ぶ)を管理することができます.
  • マスターアカウントはメンバーアカウントに対して、様々なポリシーを適用して制御することが可能です.
  • 一括請求機能を利用して、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化できます.
  • マスターアカウントはサービスコトロールポリシー(SCP)を利用して、AWSアカウント内のIAMアイデンティティ(ユーザー、グループ、ロール)に必要なAWSサービスへのアクセスのみを許可するための権限範囲を設定します.
  • OUに対してSCPを設定して、アクセス権限範囲を制限します.

Q. IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能は次のうちどれか選択してください。

Access Advisor: Last Accessed DataにIAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻が表⽰されます。
  • IAM アクセスアドバイザーは、ユーザーのサービスアクセス監査、不要なアクセス権限の削除、IAM エンティティ (ユーザー、ロール、グループなど) がAWS サービスにアクセスしたタイムスタンプを取得することができます

Q. AWSリソースを複数のアカウント間で共有するために利用できるサービスはどれでしょうか?

AWS Resource Access Manager(AWS RAM): 個々のAWSアカウント、AWS Organizations内の組織や組織単位(OU)において、AWSリソースの安全な共有を実施するサービスです。
  • AWS RAMによって作成および管理されたリソースをアカウント間で共有できます
AWS Organizations: 一括請求機能によって組織のすべてのアカウントが 1 つのアカウントとして扱われます。