type
status
date
slug
summary
tags
category
icon
password
理論
簡単に言うと…
外部IDは、AWSが誰がアクセスしようとしているのかを確認するための鍵のようなものです。これにより、許可された人だけがアクセスできるようになります。
例えるなら…
想像してみてください。あなたの家にセキュリティシステムがあって、誰かが家に入ろうとする時に、鍵だけではなく、特別なコード(外部ID)も必要なんです。このコードがないと、どんなに鍵を持っていても家には入れません。
なぜ必要か?
もし外部IDがなければ、他の誰かが許可された人のアクセス情報を使って、不正にリソースにアクセスできてしまう可能性があります。外部IDを使うことで、それを防ぐことができます。
まとめ:
- 外部IDはアクセスを許可するための特別なコードです。
- パスワードは認証(本人確認)のため、外部IDは誰がアクセスしているかを確認するために使います。
これが外部IDの役割です!
外部IDは、AWSリソースへのアクセスを制御するための特別なコードです。この外部IDは、監査員に提供する必要があり、安全な方法で渡すことが重要です。
外部IDの送信方法:
- 暗号化された通信手段を使う:例えば、暗号化されたメールや安全なメッセージングツールを使用して外部IDを送信します。
- 公開のチャネルで送らない:普通のメールやソーシャルメディアなど、公開される可能性のある方法では送信しないようにします。
- 受信者が適切な監査員であることを確認する:外部IDを送る前に、受信者が本当に必要な監査員であることを確認しましょう。
このように、安全に外部IDを送信することで、AWSリソースへのアクセスを正当な監査員にのみ許可できます。
実践
略
一問道場
問題 #149
トピック 1
ある会社は、財務情報の規制監査を受けています。外部監査人は1つのAWSアカウントを使用して、会社のAWSアカウントにアクセスする必要があります。ソリューションアーキテクトは、監査人に会社のAWSアカウントへの安全な読み取り専用アクセスを提供する必要があります。このソリューションは、AWSのセキュリティベストプラクティスに準拠していなければなりません。
どのソリューションがこれらの要件を満たしますか?
A. 会社のAWSアカウントで、リソースポリシーを作成して、すべてのリソースに対して監査人のAWSアカウントにアクセスを許可します。リソースポリシーに一意の外部IDを割り当てます。
B. 会社のAWSアカウントで、監査人のAWSアカウントを信頼するIAMロールを作成します。必要な権限を持つIAMポリシーを作成し、そのポリシーをロールにアタッチします。ロールの信頼ポリシーに一意の外部IDを割り当てます。
C. 会社のAWSアカウントで、IAMユーザーを作成し、必要なIAMポリシーをIAMユーザーにアタッチします。IAMユーザーのAPIアクセスキーを作成し、そのアクセスキーを監査人と共有します。
D. 会社のAWSアカウントで、必要な権限を持つIAMグループを作成します。会社のアカウントで各監査人のためにIAMユーザーを作成し、IAMユーザーをIAMグループに追加します。
解説
この問題では、外部監査員にAWSアカウントへの読み取り専用アクセスを提供する方法が求められています。セキュリティのベストプラクティスを守りながらアクセスを提供する方法を選ぶ必要があります。
解説:
- *最適な方法(B)**は、IAMロールを使って監査員にアクセス権を付与する方法です。
- 外部IDを使用することで、監査員のAWSアカウントへのアクセスが他の人によって不正に使用されるのを防ぎます。
- 外部IDは、一度設定した信頼関係が正当なものであることを確認するために使われます。
なぜBが最適か?
- ロールと外部IDを使うことで、監査員に一時的で安全なアクセスを提供でき、セキュリティが強化されます。
- 他の方法(A、C、D)は、管理が難しく、セキュリティのリスクが高くなります。
要するに、Bは最も安全で柔軟な方法であり、セキュリティのベストプラクティスに従っています。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16fd7ae8-88e2-80b0-b343-f2cf0e81d768
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
