ポリシー / 出力

IAMポリシーにおいて「Effect」キーの役割は何ですか？
A. アクセス元を定義する
B. 許可または拒否を定義する
C. 操作の種類を定義する
D. 対象リソースを定義する

B
Effect は「Allow」または「Deny」でアクセスの許可／拒否を指定します。AWS IAMポリシーの評価ではDenyが常に優先されます。
IAMポリシーで操作を指定するキーはどれですか？
A. Action
B. Effect
C. Resource
D. Condition

A
Actionはユーザーが実行できる操作（例：s3:GetObjectなど）を指定します。
次のうち、IAMポリシーの適用対象として正しいものはどれですか？
A. CloudFrontディストリビューション
B. IAMユーザー、グループ、ロール
C. VPCサブネット
D. EC2セキュリティグループ

B
IAMポリシーはIAMエンティティ（ユーザー・グループ・ロール）にアタッチされます。
「明示的Deny」がある場合の評価結果は？
A. Allowより優先される
B. Allowより後に評価される
C. 無視される
D. リソースポリシーのみ適用される

A
IAMのポリシー評価は「明示的Deny ＞ Allow ＞デフォルトDeny」の順に優先されます。
S3バケットポリシーとIAMユーザーポリシーが矛盾する場合、どちらが優先されますか？
A. S3バケットポリシー
B. IAMユーザーポリシー
C. 明示的Denyを含む方
D. 最後に評価された方

C
評価結果は両方のUnionで判断されますが、明示的Denyがあれば最優先されます。
IAMポリシーで特定のリソースを指定するキーは？
A. Principal
B. Resource
C. Condition
D. Action

B
ResourceはARN形式で対象リソースを指定します（例：arn:aws:s3:::my-bucket/*）。
次のうち、「誰に権限を与えるか」を定義するキーは？
A. Principal
B. Effect
C. Resource
D. Action

A
Principal はポリシーの対象となるAWSアカウントやユーザーを示します。特にS3バケットポリシーで使用されます。
IAMポリシーにおけるConditionの役割はどれですか？
A. 許可の優先順位を決める
B. 許可条件を定義する
C. リソースタイプを指定する
D. ポリシーの期限を設定する

B
Condition は「特定のIPからのみ許可」など、条件付きで権限を制御します。
Lambda関数がS3バケットにアクセスするには、どのようなIAM設定が必要ですか？
A. Lambda関数に直接ユーザーポリシーを付与
B. Lambda実行ロールにS3アクセス許可を付与
C. S3側でバケットポリシーを削除
D. CloudFront経由でアクセス制御

B
LambdaはIAMロールを通じて権限を取得します。関数に直接ユーザーポリシーを付与することはできません。
IAMポリシーを複数アタッチした場合の動作は？
A. 最初のポリシーのみ有効
B. すべて合算（Union）評価される
C. 最後にアタッチしたものだけ有効
D. 最も制限の厳しい方が自動適用される

B
IAMはすべてのポリシーを統合して評価します。複数ポリシーを組み合わせることが可能です。
EC2インスタンスがS3へアクセスできるようにするには？
A. インスタンスプロファイル経由でロールをアタッチ
B. ユーザーにS3FullAccessを付与
C. S3バケットポリシーで全員に許可
D. EC2タグでアクセス制御

A
EC2からAWSリソースにアクセスするには、IAMロール（インスタンスプロファイル）を使用します。
次のポリシーで許可される操作は？
Effect: Allow, Action: s3:ListBucket, Resource: *
A. S3バケットの一覧取得
B. S3オブジェクトの削除
C. IAMユーザー作成
D. CloudWatchログ閲覧

A
s3:ListBucket はS3バケット内のオブジェクト一覧を取得する操作です。
IAMポリシーのVersionキーの意味は？
A. ポリシーの有効期限
B. JSON構文のバージョン
C. AWSアカウントの世代
D. IAMユーザーの数

B
Version はポリシードキュメント形式のバージョンを示し、現在は「2012-10-17」が標準です。
S3のバケットポリシーを使用する主な目的は？
A. IAMユーザーごとのアクセス制御
B. リソースレベルでのアクセス制御
C. CloudWatchの監査設定
D. コスト最適化設定

B
S3バケットポリシーは「バケット単位でアクセス制御」を行うためのものです。
IAMロールのAssumeRoleを利用する目的は？
A. 別アカウントやサービスに一時的にアクセスするため
B. ロールを削除するため
C. EC2を停止するため
D. CloudFrontキャッシュを無効化するため

A
AssumeRoleは他のエンティティが一時的にロールの権限を引き受ける仕組みです。
次のうち、IAMユーザーに直接アタッチできるのはどれ？
A. バケットポリシー
B. インラインポリシー
C. ロールポリシー
D. SCP

B
インラインポリシーは個別のIAMユーザーに直接埋め込む形で付与できます。
IAMグループにポリシーを設定すると？
A. グループ内のユーザー全員に適用される
B. グループのみアクセス可能
C. 他のグループに継承される
D. 効果はない

A
グループに付与したポリシーは、そのグループに所属する全ユーザーに適用されます。
ポリシーのConditionキーに「aws:SourceIp」を指定する目的は？
A. 時刻条件の指定
B. アクセス元IPの制限
C. アカウントIDの指定
D. 暗号化方式の選択

B
Conditionのaws:SourceIpを使うと、特定のIPアドレスや範囲からのみアクセスを許可できます。
IAMロールとIAMユーザーの主な違いは？
A. ロールは認証情報を持たない
B. ユーザーは一時的なアクセスのみ可能
C. ロールは削除できない
D. ロールはリソースに直接付与できない

A
IAMロールは固定の認証情報を持たず、一時的にAssumeされて使われます。
「リソースベースポリシー」の例として正しいのは？
A. S3バケットポリシー
B. IAMユーザーポリシー
C. CloudWatchメトリクスポリシー
D. IAMグループポリシー

A
S3バケットポリシーやLambda関数ポリシーなど、リソースに直接付与するタイプを「リソースベースポリシー」と呼びます。

オンライン単語帳

このページを利用するにはログインする必要があります。ログインするとAnkilotをより便利にご利用いただけます。

登録するログインする