-
IAMポリシーにおいて「Effect」キーの役割は何ですか?
A. アクセス元を定義する
B. 許可または拒否を定義する
C. 操作の種類を定義する
D. 対象リソースを定義する
B
Effect は「Allow」または「Deny」でアクセスの許可/拒否を指定します。AWS IAMポリシーの評価ではDenyが常に優先されます。
-
IAMポリシーで操作を指定するキーはどれですか?
A. Action
B. Effect
C. Resource
D. Condition
A
Actionはユーザーが実行できる操作(例:s3:GetObjectなど)を指定します。
-
次のうち、IAMポリシーの適用対象として正しいものはどれですか?
A. CloudFrontディストリビューション
B. IAMユーザー、グループ、ロール
C. VPCサブネット
D. EC2セキュリティグループ
B
IAMポリシーはIAMエンティティ(ユーザー・グループ・ロール)にアタッチされます。
-
「明示的Deny」がある場合の評価結果は?
A. Allowより優先される
B. Allowより後に評価される
C. 無視される
D. リソースポリシーのみ適用される
A
IAMのポリシー評価は「明示的Deny > Allow > デフォルトDeny」の順に優先されます。
-
S3バケットポリシーとIAMユーザーポリシーが矛盾する場合、どちらが優先されますか?
A. S3バケットポリシー
B. IAMユーザーポリシー
C. 明示的Denyを含む方
D. 最後に評価された方
C
評価結果は両方のUnionで判断されますが、明示的Denyがあれば最優先されます。
-
IAMポリシーで特定のリソースを指定するキーは?
A. Principal
B. Resource
C. Condition
D. Action
B
ResourceはARN形式で対象リソースを指定します(例:arn:aws:s3:::my-bucket/*)。
-
次のうち、「誰に権限を与えるか」を定義するキーは?
A. Principal
B. Effect
C. Resource
D. Action
A
Principal はポリシーの対象となるAWSアカウントやユーザーを示します。特にS3バケットポリシーで使用されます。
-
IAMポリシーにおけるConditionの役割はどれですか?
A. 許可の優先順位を決める
B. 許可条件を定義する
C. リソースタイプを指定する
D. ポリシーの期限を設定する
B
Condition は「特定のIPからのみ許可」など、条件付きで権限を制御します。
-
Lambda関数がS3バケットにアクセスするには、どのようなIAM設定が必要ですか?
A. Lambda関数に直接ユーザーポリシーを付与
B. Lambda実行ロールにS3アクセス許可を付与
C. S3側でバケットポリシーを削除
D. CloudFront経由でアクセス制御
B
LambdaはIAMロールを通じて権限を取得します。関数に直接ユーザーポリシーを付与することはできません。
-
IAMポリシーを複数アタッチした場合の動作は?
A. 最初のポリシーのみ有効
B. すべて合算(Union)評価される
C. 最後にアタッチしたものだけ有効
D. 最も制限の厳しい方が自動適用される
B
IAMはすべてのポリシーを統合して評価します。複数ポリシーを組み合わせることが可能です。
-
EC2インスタンスがS3へアクセスできるようにするには?
A. インスタンスプロファイル経由でロールをアタッチ
B. ユーザーにS3FullAccessを付与
C. S3バケットポリシーで全員に許可
D. EC2タグでアクセス制御
A
EC2からAWSリソースにアクセスするには、IAMロール(インスタンスプロファイル)を使用します。
-
次のポリシーで許可される操作は?
Effect: Allow, Action: s3:ListBucket, Resource: *
A. S3バケットの一覧取得
B. S3オブジェクトの削除
C. IAMユーザー作成
D. CloudWatchログ閲覧
A
s3:ListBucket はS3バケット内のオブジェクト一覧を取得する操作です。
-
IAMポリシーのVersionキーの意味は?
A. ポリシーの有効期限
B. JSON構文のバージョン
C. AWSアカウントの世代
D. IAMユーザーの数
B
Version はポリシードキュメント形式のバージョンを示し、現在は「2012-10-17」が標準です。
-
S3のバケットポリシーを使用する主な目的は?
A. IAMユーザーごとのアクセス制御
B. リソースレベルでのアクセス制御
C. CloudWatchの監査設定
D. コスト最適化設定
B
S3バケットポリシーは「バケット単位でアクセス制御」を行うためのものです。
-
IAMロールのAssumeRoleを利用する目的は?
A. 別アカウントやサービスに一時的にアクセスするため
B. ロールを削除するため
C. EC2を停止するため
D. CloudFrontキャッシュを無効化するため
A
AssumeRoleは他のエンティティが一時的にロールの権限を引き受ける仕組みです。
-
次のうち、IAMユーザーに直接アタッチできるのはどれ?
A. バケットポリシー
B. インラインポリシー
C. ロールポリシー
D. SCP
B
インラインポリシーは個別のIAMユーザーに直接埋め込む形で付与できます。
-
IAMグループにポリシーを設定すると?
A. グループ内のユーザー全員に適用される
B. グループのみアクセス可能
C. 他のグループに継承される
D. 効果はない
A
グループに付与したポリシーは、そのグループに所属する全ユーザーに適用されます。
-
ポリシーのConditionキーに「aws:SourceIp」を指定する目的は?
A. 時刻条件の指定
B. アクセス元IPの制限
C. アカウントIDの指定
D. 暗号化方式の選択
B
Conditionのaws:SourceIpを使うと、特定のIPアドレスや範囲からのみアクセスを許可できます。
-
IAMロールとIAMユーザーの主な違いは?
A. ロールは認証情報を持たない
B. ユーザーは一時的なアクセスのみ可能
C. ロールは削除できない
D. ロールはリソースに直接付与できない
A
IAMロールは固定の認証情報を持たず、一時的にAssumeされて使われます。
-
「リソースベースポリシー」の例として正しいのは?
A. S3バケットポリシー
B. IAMユーザーポリシー
C. CloudWatchメトリクスポリシー
D. IAMグループポリシー
A
S3バケットポリシーやLambda関数ポリシーなど、リソースに直接付与するタイプを「リソースベースポリシー」と呼びます。
-
#SAA