IAM

IAMをプログラムで操作する必要があります。

HTTPSを使用してIAMサービスに直接アクセスしてサービスアクションを呼び出すことを可能とするためには、どの機能を使用して認証しなければなりませんか？(2つ選択してください)

アクセスキーID、シークレットアクセスキー
APIゲートウェイ
OpenIDコネクト
IAMロール
クエリ API

ソリューションアーキテクトが新入社員のために新しい IAM ユーザーアカウントを作成しました。

このユーザーはアクションを実行する権限を持っていません。
IAMで新しく作成されたユーザーについて、どの説明が正しいですか？

フルパーミッションで作成される
ユーザー権限で作成される
制限された権限で作成される
権限がない状態で作成される

あるアプリケーションが、EC2インスタンスでホストされているウェブサイトからデータを収集し、S3バケットにデータを書き込む予定です。
アプリケーションは、EC2インスタンスとS3バケットと対話するためにAPIコールを使用します。

選択肢のうち、どのAmazon S3アクセス制御方法が運用上最も効率的でしょうか？(2つ選択）

IAMポリシーを作成する。
バケットポリシーを作成する。
キーペアを使用する。
AWSマネジメントコンソールへのアクセス権を付与する。
プログラムによるアクセス権を付与する。

ソリューションアーキテクトは新しいAWSアカウントを作成し、AWSアカウントのルートユーザーアクセスを保護する必要があります。

どの組み合わせがこれを達成しますか？(2つ選択)

管理者権限を持つグループにルートユーザーを追加する
ルートユーザーアカウントを削除する
ルートユーザーのアクセスキーを暗号化されたAmazon S3バケットに保存する
ルートユーザーの多要素認証の有効化をする
ルートユーザーが強力なパスワードを使用していることを確認する

ソリューションアーキテクトは、ある企業の開発者にシングルサインオンのソリューションを設計する必要があります。
開発者はオンプレミスのWebアプリケーションを管理します。
また、AWSクラウドのリソースを管理するため、AWS管理コンソールへのアクセスを必要とします。

これらの要件を提供するために、どのサービスの組み合わせが最も適していますか？

オンプレミスのLDAPディレクトリとIAMを使用する。
AWS Secure Token Service (STS)とSAMLを使用する。
IAMとMFAを使用する。
IAMとAmazon Cognitoを使用する。

ある企業は、すべてのAWS IAMユーザーアカウントに特定の複雑性の要件と最小のパスワードの長さを要求しています。

ソリューションアーキテクトはこれをどのように達成すべきですか？

AWSアカウントの各IAMユーザーに対してパスワードポリシーを設定します。
AWSアカウント全体のパスワードポリシーを設定します。
要件を強制するIAMポリシーを作成し、すべてのユーザーにそれを適用します。
AWS Configルールを使用して、ユーザーアカウントを作成するときに要件を強制します。

ある会社がAWSアカウントを使用してAWSサービスを開始し、ソリューションアーキテクトは認証と認可の設計を担当しています。

IAMグループに関する正しい記述を選択してください。(2つ選択)

IAMグループは、EC2インスタンスのグループ化に使用することができます。
IAMグループは、ユーザーに権限を割り当てるために使用することができます。
IAMグループは、特定のタスクの許可を得るために、一時的に役割を引き受けることができます。
IAMグループは最大4階層まで入れ子にすることができます。
IAMグループはアイデンティティではないので、IAMポリシーでプリンシパルとして識別することはできません。

Amazon VPCには、本番環境と非本番環境のAmazon EC2インスタンスが混在しています。
ソリューションアーキテクトは、異なる環境のインスタンスに対するアクセス許可を分離する方法を設計する必要があります。

これはどのように達成することができますか？(2つ選択します。)

特定のタグを持つインスタンスへのアクセスを許可するIAMポリシーを作成し、ユーザーとグループにアタッチする。
ユーザーまたはグループにアクセス権を付与したいインスタンスに特定のタグを追加する。
ユーザーデータを使用するインスタンスに環境変数を追加する。
環境変数にマッチした条件文のIAMポリシーを作成する。
Identity Provider（IdP）を取り付け、該当するグループにインスタンスへのアクセスを委譲する。

あなたの会社は、S3バケットに格納されたデータオブジェクトにアクセスするEC2インスタンスを運用しています。
あなたのITセキュリティ部門は、このアーキテクチャのセキュリティを懸念しており、以下を実装することを望んでいます。

1) EC2インスタンスがS3バケットに保存されているデータオブジェクトに安全にアクセスできるようにすること
2）オブジェクトの偶発的な削除を防止すること

次のうち、ITセキュリティ部門の要件を満たすのに役立つのはどれですか？（2つ選択）

IAMユーザーを作成し、EC2インスタンスがIAMユーザーの資格情報を使用してバケット内のデータにアクセスできるようにします。
IAM Roleを作成し、EC2インスタンスがIAM Roleを使用してバケット内のデータにアクセスするようにします。
S3 Cross-Region Replicationを使用して、データの整合性が保たれるようにオブジェクトをレプリケートします。
S3バケットポリシーを使用して、バケット内のオブジェクトにMFA Deleteが設定されていることを確認します。

ある企業が大量のファイルをAmazon S3バケットに保存しています。
Amazon EC2インスタンス上で実行されているアプリケーションはS3バケット内のファイルにアクセスして処理するため、適切な権限が必要です。
どのアクションが最も安全にEC2インスタンスにS3バケットへのアクセスを許可しますか？

最小特権権限を持つIAMロールを作成し、それをEC2インスタンスプロファイルに添付します。
S3バケットにバケットACLを作成し、EC2インスタンスIDを許可対象として構成します。
S3バケットへの特定の権限を持つアプリケーションのIAMユーザーを作成します。
アクセスキーを生成し、APIコールで使用するためにEC2インスタンスに認証情報を格納します。

あるソリューションアーキテクトが複数の Amazon RDS MySQL データベースを管理しています。
セキュリティを向上させるために、ソリューションアーキテクトは、一時的な資格情報を使用して安全なユーザーアクセスを有効にしたいと考えています。

これらの要件はどのように満たすことができますか？

AWS Security Token Service (STS)を使用するようにMySQLデータベースを設定する。
IAMでAWSAuthenticationPluginを使用するためにMySQLユーザーアカウントを作成する。
AWS KMSデータ暗号化キーを使用するようMySQLデータベースを設定する。
AUTHコマンドを使用して一意のパスワードを送信するようにアプリケーションを構成する。

Amazon S3バケットから動画を提供する単一のAmazon Elastic Compute Cloud（EC2）インスタンス上でホストされているWebアプリケーションを持っています。

次のうちどれが、第三者がバケット内の動画に直接アクセスすることを制限しますか？

バケットポリシーを使用して、メインウェブサイトのURLからの参照のみを許可します。
バケットへのアクセスを会社の場所のパブリックCIDR範囲に制限します。
動画へのアクセスを許可された IAM ロールを使用して、Web サイトの Amazon EC2 インスタンスを起動します。
バケットポリシーを使用してウェブサイトをホストしているAmazon EC2インスタンスのパブリックIPアドレスのみを許可します。

ある企業では運用効率化のため、開発者が既存のIAMロールに既存のIAMポリシーをアタッチできることを要件としています。
しかし、セキュリティ運用チームは、このままでは開発者が管理者ポリシー（管理者権限）までアタッチできてしまうことを懸念しています。

ソリューションアーキテクトは、この問題にどのように対処すべきでしょうか？

開発者がポリシーをアタッチできないようにし、すべてのIAM業務をセキュリティ運用チームに割り当てる。
サービス制御ポリシーを使用して、組織単位のすべてのアカウントでIAMアクティビティを無効にする。
Amazon SNSのトピックを作成し、開発者が新しいポリシーを作成するたびにアラートを送信する。
開発者IAMロールにIAM Permissions boundaries（アクセス許可境界）を設定し、管理者ポリシーのアタッチを明示的に拒否する。

EC2起動タイプを使用するAmazon ECSコンテナインスタンス上で実行されるアプリケーションがあり、このアプリケーションはAmazon DynamoDBにデータを書き込むための権限が必要です。

どのようにこれらの権限をアプリケーションを実行している特定のECSタスクにのみ割り当てることができますか？

DynamoDBへの権限を持つIAMポリシーを作成し、それをコンテナインスタンスにアタッチします。
DynamoDBへの権限を持つIAMポリシーを作成し、taskRoleArnパラメータを使用してタスクに割り当てます。
DynamoDBへのアウトバウンド接続を許可するセキュリティグループを使用し、それをコンテナインスタンスに割り当てる。
Amazon ECSTaskExecutionRolePolicyポリシーを修正して、DynamoDBのパーミッションを追加します。

Amazon ECS上で動作するアプリケーションはデータを処理してからAmazon S3バケットにオブジェクトを書き込みます。
アプリケーションは、S3 APIコールを行うためのアクセス許可を必要とします。

ソリューションアーキテクトは、どのようにアプリケーションが必要なアクセス権を持っていることを確認することができますか？

バケットへの読み取り/書き込み権限を持つIAMポリシーをIAMグループにアタッチし、コンテナインスタンスをそのグループに追加します。
IAMのS3ポリシーを更新して、Amazon ECSからの読み取り/書き込みアクセスを許可し、コンテナを再起動します。
バケットに対する読み取り/書き込み権限を持つAccess Keyのセットを作成し、タスクのクレデンシャルIDを更新します。
バケットの読み書き権限を持つ IAM ロールを作成し、タスク定義を更新して、そのロールを taskRoleArn として指定します。

ある開発者が、Amazon EC2とAmazon RDS MySQLデータベースインスタンスを使用するアプリケーションを作成しました。
開発者は、データベースのユーザー名とパスワードを、EC2インスタンスのルートEBSボリューム上の構成ファイルに保存しました。
ソリューションアーキテクトは、より安全なソリューションを設計するよう依頼されています。

この要件を達成するために、ソリューションアーキテクトは何をすべきですか？

データベースにアクセスする権限を持つIAMロールを作成します。このIAMロールをEC2インスタンスにアタッチします。
アプリケーションインスタンスにAmazonの信頼できるルート証明書をインストールし、データベースへのSSL/TLS暗号化接続を使用します。
暗号化を有効にしたEC2インスタンスに追加のボリュームをアタッチします。設定ファイルを暗号化されたボリュームに移動する。
設定ファイルをAmazon S3バケットに移動します。バケットへのアクセス権を持つIAMロールを作成し、EC2インスタンスにアタッチします。

ある企業ではAWSにWEBアプリケーションを構築しています。社内のセキュリティ規定によるとWEBアプリケーションへのアクセスにはHTTPSプロトコルを使用することが要件となっていますが、そのためにはWebアプリケーションのSSLサーバー証明書を設定する必要があります。
SSLサーバー証明書を管理するには、次のどのAWSサービスを利用する可能性がありますか？（2つ選択してください。）

Amazon Cognito
IAM
Route 53
AWS ACM
AWS Directory Service

AWSで設定されたEC2インスタンスは、S3にAPIコールを行うアプリケーションをホストしています。
アプリケーションがS3にアクセスするための理想的な方法は何ですか？

インスタンスユーザーデータを使用して、インスタンスにAPI資格情報を渡します。
別のAmazon S3バケットにオブジェクトとしてAPIクレデンシャルを格納します。
APIクレデンシャルをアプリケーションに埋め込みます。
EC2インスタンスにIAMロールを作成し、割り当てます。

あなたはセキュリティ担当で組織のAWSアカウントを管理しています。
IAMユーザーは何らかのIAMグループに所属しています。

「IAM ユーザーに自分のパスワードのみを変更する権限を付与したい」場合の最良の方法は何ですか？
正しい組み合わせ選択してください。

ユーザーが自分のパスワードを変更できるIAMポリシーをユーザーグループにアタッチしますAWS Security Token Serviceにより、すべてのユーザーが自分のパスワードを変更する機能を無効にするよう設定します。
ユーザーが自分のパスワードを変更できるIAMポリシーをユーザーグループにアタッチします。このIAMポリシーを取り扱える権限を持ったIAMロールを作成します。
ユーザーが自分のパスワードを変更できるIAMポリシーをユーザーグループにアタッチします。このポリシーをグループに所属するIAMユーザーにアタッチします。
ユーザーが自分のパスワードを変更できないようにIAMパスワードポリシーの設定を変更します。ユーザーが自分のパスワードを変更できるIAMポリシーをユーザーグループにアタッチします

企業の各部門が使用するAWSリソースのコストを監視する必要があります。各部門は、他の部門のリソースとを分けて管理したいと考えています。ITガバナンスとコストの監視を行える仕組みを維持しながら、この要件を満たす最適なアーキテクトを次の中から2つ選択してください。

AWS 一括請求を使用して、部門のAWSアカウントのルートアカウントのアクセスを無効にする。
AWS アカウントを部門ごとに個別の VPC を作成する。
AWS CloudTrail ログおよび Amazon CloudWatch Logs をメンバーアカウントの各 Amazon S3 バケットにログを書き込みを行う。
AWS 一括請求を使用して、部門のAWSアカウントを親企業のマスターアカウントにリンクする。
部門のAWSアカウントのすべての企業 IT 管理者に対して IAM クロスアカウントアクセスを有効にする。

B社はAWSを利用してオンプレミスのデータセンターを拡張し、 IAMを使用してリソースのセキュリティを含む会社のクラウドインフラストラクチャのすべてを管理するように権限を割り当てました。
この場合における、権限管理のセキュリティ上のベストプラクティスを選択してください。

アクセスレベルを基準にIAM 権限をモニタリング
Amazon EventBridge による AWS IAM Access Analyzer のモニタリングを実施
IAM Access Analyzer を使用して、IAM 権限を確認
ルートユーザーのアクセスキー複製

シングルサインオンを実現するために、IAMと認証基盤（LDAP）を連携する場合に利用する技術として正しいものは次のうちどれですか。

OpenAM
アクセスキーとシークレットキー
SAML 2.0
IAMロール

AmazonS3の一部のバケットは、IAMポリシーを利用して外部の第三者のアプリケーションによるファイルの読み込みを許可しています。そのため、外部の不正利用者からも参照できてしまうため、不正にファイルが利用されていないかを確認することが必要となります。
不正なアカウントからのアクセスがないかを確認する仕組みとして最適な方法を選択してください。

IAM Access Analyzerを利用してアクセス情報を解析する方法。
サーバーのアクセスログを確認する方法。
ストレージクラス分析を行う方法。
CloudTrailを利用してアクセスログを確認する方法。

ある企業が、EC2インスタンスにアクセスキーを持たせてDynamoDBにアクセスさせています。セキュリティチームからこの状況をよりセキュアに改善するよう要求されました。セキュリティチームの要求に応えるソリューションはどれですか。

そのテーブルにアクセスする権限を持つ IAM ロールを作成し、そのロールを使用してすべてのインスタンスを起動する。
インスタンスユーザーデータを介してアクセスキーをインスタンスに渡す。
プライベートサブネット内で起動されたキーサーバーからアクセスキーを取得する。
アクセスキーを Amazon S3 バケットに格納し、起動時にインスタンスからアクセスキーを取得する。

AWSで作成されたリソースはインターネット上に存在するため、誤った設定をしてしまうと不特定多数のユーザーからアクセスをする事が出来てしまいます。

EC2インスタンスで動作しているアプリケーションから他のAWSサービスのリソース（S3など）にアクセスしたいという要件がある場合に選択するべきセキュアなソリューションは次のうちどれですか？

IAMユーザのパスワードポリシーを複雑なものに限定する
適切なIAMポリシーを付与したIAMロールをEC2に割り当てる
MFAによる多要素認証を利用する
アクセスキーとシークレットアクセスキーをアプリケーションのコードにハードコーディングして利用する

AWS上でPostgreSQLデータベースを利用しています。セキュリティ上の理由から、PostgreSQLにアクセスできる有効期間を短くしたいと考えています。
最も最適なソリューションを次の中から選択してください。

EC2 に PostgreSQL をインストールし、pg_iam モジュールをインストールします。IAM ユーザー名とパスワードを使用して認証します。
Amazon RDS for PostgreSQL を使用し、RDS サービスを通じて取得したトークンを使用して認証します。
Amazon RDS for PostgreSQL を使用し、強制的にSSL 接続を行います。定期的にローテーションする SSL 証明書を使用して認証します。
Amazon RDS for PostgreSQL を使用し、pg_iammodule をインストールします。IAM ユーザー名とパスワードを使用して認証します。

IAMユーザでAWSマネージメントコンソールにアクセスすると、ログインはできましたがユーザはどのAWSサービスにもアクセスできませんでした。考えられる原因と対応は次のうちどれですか？

ユーザが間違ったIDでログインしていることが原因であり、正しいIDでログインしなおす
IAMで作成されたユーザに各AWSサービスへのアクセスポリシーが付与されていないのが原因であり、必要なアクセス権を付与する
ユーザが間違ったパスワードでログインしていることが原因であり、正しいパスワードでログインしなおす
ユーザの権限が壊れていることが原因であり、ユーザを再作成する

運営しているWebサイトに、利用者が作成した写真をサイトにS3にアップロードできるWebアプリケーションを追加しようとしています。
このWebアプリケーションではS3 APIを呼び出す際に認証を行う必要があります。
次の中で、最もセキュリティレベルが高いのはどれですか？

EC2インスタンスのユーザデータを使ってAPI認証する
GithubのリポジトリにAPIに認証情報を保存し、S3 APIを呼び出す都度保存した情報を取得する
S3へのアクセス許可設定をしたIAMロールを作成し、EC2インスタンスに割り当てる
利用するプログラム（例えばPHP）のファイル内にAPI認証情報を保存する

AWSを利用する上で、利用者に対しIAMを付与し適切な権限を付与する事が求められます。
IAMのデフォルトの権限として適切な物は、次のうちどれですか。

グローバルサービスに関する権限のみが付与されている。
全ての権限が付与されている。
リージョンサービスに関する権限のみが付与されている。
全ての権限が付与されていない。

実行中の全てのAmazonRDSインタンスのリストを表示させるAPIを呼び出すLambda関数の作成を検討しています。
この要件を満たす方法を選択してください。

すべての Amazon RDS インスタンスのリストを表示する権限を持つ IAM ロールを作成して Lambda 関数ヘアタッチします。
IAM アクセスキーとシークレットキーを作成し、Lambda 関数に保存します。
すべての Amazon RDS インスタンスのリストを表示する権限を持つ IAM ロールを作成して Amazon RDS ヘアタッチします。
IAM アクセスキーとシークレットキーを作成し、暗号化された RDS データベースに保存します。

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

2. 質問

3. 質問

4. 質問

5. 質問

6. 質問

7. 質問

8. 質問

9. 質問

10. 質問

11. 質問

12. 質問

13. 質問

14. 質問

15. 質問

16. 質問

17. 質問

18. 質問

19. 質問

20. 質問

21. 質問

22. 質問

23. 質問

24. 質問

25. 質問

26. 質問

27. 質問

28. 質問

29. 質問

30. 質問