【AWS】什么是AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) 是一项 AWS 服务,它能帮助你安全地控制对 AWS 资源的访问。
你可以把它想象成一个“门禁系统”和“权限分配中心”,让你精确地管理谁(以及什么)可以访问你的 AWS 账户中的哪些资源,以及它们可以执行什么操作。
IAM 的重要性与最佳实践
永远不要使用根用户 (Root User) 进行日常操作:
根用户拥有你 AWS 账户的最高权限。你应该将其凭证安全地存储起来,并仅在极少数需要根用户权限的任务时才使用。日常操作应该使用拥有所需最小权限的 IAM 用户。
实施最小权限原则 (Principle of Least Privilege):
仅授予用户、组或角色完成其任务所需的最小权限。不要给予过多的权限。
使用 IAM 组管理权限: 将用户组织到组中,并向组附加权限策略,而不是为每个用户单独附加策略。
使用 IAM 角色而不是长期访问密钥: 对于 AWS 服务和需要临时凭证的场景,优先使用 IAM 角色。避免在应用程序代码或 EC2 实例上硬编码长期访问密钥。
强制启用多因素身份验证 (MFA): 为所有 IAM 用户(特别是拥有管理权限的用户)启用 MFA,以增强登录安全性。
定期轮换访问密钥: 如果必须使用访问密钥,请定期轮换它们。
定期审查权限: 定期检查你的 IAM 配置,删除不再需要的用户、组、角色或权限。使用 IAM Access Analyzer 等工具来发现潜在的外部访问问题或过度权限。
利用服务控制策略 (SCP): 如果你使用 AWS Organizations,SCP 可以在组织或组织单位 (OU) 层面设置权限护栏,限制成员账户中 IAM 实体所能获得的最大权限。
过去考试题
Amazon Storage Service(Amazon S3)バケットへのアクセスを特定のユーザーに制限する方法としてセキュリティの観点で一番良い方法は次のどれですか?
- 公開鍵と秘密鍵のペア
- Amazon Inspector
- AWS Identity and Access Management(IAM)ポリシー
- セキュリティグループ
过去考试题
AWSは、Identity and Access Management(IAM)ユーザーにセキュリティを追加したい場合、次の方法のどれをサポートしていますか?(2つ選択してください。)
① Amazon Rekognitionの実装
② AWS Shieldで保護されたリソースの使用
③ セキュリティグループによるアクセスのブロック
④ 多要素認証(MFA)の使用
⑤ パスワードの強度と有効期限を適用する
过去考试题
次のうち、Amazon S3のバケットへのアクセスを特定のユーザーに制限できるのはどれですか?
- Amazon Inspector
- 公開鍵と秘密鍵のペア
- AWS Identity and Access Management(IAM)ポリシー
- セキュリティグループ
Amazon S3のバケットへのアクセスは、AWS Identity and Access Management(IAM)ポリシーを使用して制御することができます。IAMポリシーを利用すれば、特定のユーザーやグループに対して、S3バケットへのアクセス権限を付与または拒否することが可能です。
A: Amazon Inspectorは、AWSリソースのセキュリティ状態をモニタリングするためのサービスで、S3バケットへのアクセス制御には使えません。
B: 公開鍵と秘密鍵のペアは、データの暗号化と復号に使用されますが、S3バケットへのアクセス制御には使えません。
D: セキュリティグループは、Amazon EC2インスタンスへのネットワークアクセスを制御するために使用されますが、S3バケットへのアクセス制御には使えません。
过去考试题
企業は、Amazon EC2 インスタンスでアプリケーションをホストしています。EC2 インスタンスは、Amazon S3 や Amazon DynamoDB など、いくつかの AWS リソースにアクセスする必要があります。アクセス許可を委任するための最も運用効率の高いソリューションは何ですか?
- 必要なアクセス許可を持つ IAM ロールを作成します。ロールを EC2 インスタンスにアタッチします。
- IAM ユーザーを作成し、そのアクセス キーとシークレット アクセス キーをアプリケーションで使用します。
- IAM ユーザーを作成し、そのアクセス キーとシークレット アクセス キーを使用して EC2 インスタンスに CLI プロファイルを作成する
- 必要なアクセス許可を持つ IAM ロールを作成します。ロールを管理 IAM ユーザーにアタッチします。
IAM ロール (Identity and Access Management) は、
AWS リソースへのアクセス権を委任するための最も安全で操作が簡単な方法です。
EC2 インスタンスに IAM ロールを割り当てると、インスタンスは一時的な認証情報を取得し、ロールに関連付けられたポリシーで許可された AWS リソースにアクセスできます。
これにより、アクセスキーやシークレットキーを保存する必要がなくなり、認証情報の漏洩リスクが軽減されます。
B は不適切です。IAM ユーザーを使用する場合、アクセスキーやシークレットキーをアプリケーションに埋め込む必要があり、認証情報が漏洩するリスクが高くなります。
C も不適切です。CLI プロファイルを使用する場合、やはり認証情報がインスタンス上に保存される必要があり、セキュリティリスクが高くなります。
D も不適切です。IAM ユーザーは個人アカウントに対応するため、EC2 インスタンスにアタッチすることはできません。また、ユーザーのアクセス権が常に必要以上に大きくなる可能性があります。
过去考试题
あるグローバルメディア企業は、複数のAWSアカウントを管理するためにAWS Organizationsを使用しています。同社は、メンバーアカウントのAWSサービスへのアクセスを制限するためにどのAWSサービスまたは機能を使用できますか?
- IAM
- Amazon S3
- AWS Config
- AWS CloudTrail
IAM(Identity and Access Management)は、AWSリソースへのアクセスを安全に制御するためのWebサービスです。
IAM内のポリシーを使用して、特定のAWSサービスやリソースへのアクセス権限を付与または拒否することができます。
AWS Organizations内のメンバーアカウントに対して、IAMポリシーを設定することで、アカウント単位でのサービスアクセス制限が可能となります。
B: Amazon S3はクラウドストレージサービスであり、アクセス制御には使用できません。
C: AWS ConfigはAWS環境のリソース設定を評価、監査、および記録するサービスです。アクセス制御の目的では使用できません。
D: AWS CloudTrailはAWS環境でのユーザー活動やリソースの変更をログに記録するサービスです。アクセス制御の目的では使用できません。
过去考试题
ある会社は、従業員のAWSアクセスを事前に定義されたAWSリソースのポートフォリオに制限したいと考えています。この要件を満たすために、どのAWSソリューションを使用すべきですか?
- IAM
- EC2
- S3
- DynamoDB
IAM (Identity and Access Management) は、AWSリソースへのアクセスを安全に制御するためのWebサービスです。
IAMを使うことで、アクセス権限を中央から管理でき、
従業員ごとに異なるリソースへのアクセス権限を設定することができます。
したがって、
従業員のAWSリソースアクセスを事前定義のポートフォリオに制限するには、IAMが適切なソリューションとなります。
过去考试题
ある会社が、Amazon EC2インスタンス上でアプリケーションをホストしています。EC2インスタンスは、Amazon S3やAmazonDynamoDBを含むいくつかのAWSリソースにアクセスする必要があります。権限を委譲するための最も運用効率の高いソリューションは何ですか?
- IAMユーザーを作成し、必要な権限を与える
- IAMロールを作成し、必要な権限を与える
- Amazon S3、DynamoDBの権限をパブリックに公開する
- EC2に直接権限を与える
EC2インスタンスにIAMロールを割り当てることで、一時的な認証情報を取得し、必要なAWSリソースにアクセスすることができます。これにより、AWSリソースへのアクセス権限を適切に委譲でき、かつ認証情報を直接管理する必要がなくなるため、運用効率が高まります。
A. IAMユーザーを作成した場合、長期的な認証情報を管理する必要があり、運用効率が低下します。
C. AWSリソースをパブリックに公開することは、セキュリティ上大きなリスクがあります。
D. EC2インスタンスに直接権限を与えることはできず、IAMロールやIAMユーザーを利用する必要があります。