【PART9 IAM 練習問題】ぜんぜんわからなかったIAMについてまとめてみました
こんにちはこぐまです。
ぜんぜんわからなかったIAMシリーズ9回目です。
ここまで記載してきた、IAM関連の練習問題を作ってみました。
ぜひチャレンジしてみてくださいませ!
【問題1】
新しくAWSアカウントを開設し、AWS構築を始めていきたいと考えています。
次のうち、もっとも正しい文を1つ選択してください。
A.最初に存在するルートユーザーを利用して一つ目のIAMユーザーを作成し、
以降は原則IAMユーザを利用して構築を進めていく。
B.最初に存在するIAMユーザーを利用して構築を進めていく。
C.最初に存在するルートユーザを利用して必要な各IAMユーザーを作成し、
以降は、ルートユーザーとIAMユーザーを併用して構築を進めていく。
D.最初に存在するIAMグループを利用して、IAMユーザーを作成し、
以降は原則IAMユーザーを利用して構築を進めていく。
【問題2】
AWSにおける認証と認可について、正しい文を2つ選択してください。
A.AWSにおける認証認可を管理するサービスとしてIAMがあり、
IAMポリシーは主に認証、IAMユーザーは認可を担っている。
B.AWSにおける認証認可を管理するサービスとしてIAMがあり、
IAMユーザーは主に認証、IAMポリシーは認可を担っている。
C.認証とは、相手が誰であるかを認識することであり、
認可とはその相手に特定の権限を与えることである。
D.認証とは、相手に特定の権限を与えることであり、
認可とはその相手が誰であるかを認識することである。
【問題3】
次のうち、マネジメントコンソール上でARNが確認できないポリシーをすべて選択してください。
A.AWS管理ポリシー
B.カスタマー管理ポリシー
C.AWS管理ポリシー・ジョブ機能
D.インラインポリシー
【問題4】
それぞれ別の権限を付与したい3つのIAMユーザーA,B,Cがあります。
今後AWS運用管理メンバーが増えて、IAMユーザA,B,Cいずれかと同じ権限を持つ
IAMユーザーを複数用意する予定もあります。
上記環境におけるIAMユーザーの管理の仕方についてもっともよいものを一つ選択してください。
A.IAMグループを1つ作成し、IAMユーザーA,B,Cをそのグループに所属させる。
グループには各IAMユーザーが利用する用途にふさわしいIAMポリシーを全てアタッチする。
今後追加のIAMユーザーを作成した場合はそのIAMグループに追加する。
B.IAMグループを1つ作成し、IAMユーザーA,B,Cをそのグループに所属させる。
グループには各IAMユーザーが利用する用途にふさわしいIAMポリシーを全てアタッチする。
今後追加のIAMユーザーを作成した場合は別のIAMグループを作成し、追加する。
C.IAMグループを3つ作成し、IAMユーザーA,B,Cをそれぞれのグループに所属させる。
各グループには各IAMユーザーが利用する用途にふさわしいIAMポリシーをアタッチする。
今後追加のIAMユーザーを作成した場合は権限に応じて既存のいずれかのIAMグループに参加させる。
D.IAMグループを3つ作成し、IAMユーザーA,B,Cをそれぞれのグループに所属させる。
各グループには各IAMユーザーが利用する用途にふさわしいIAMポリシーをアタッチする。
今後追加のIAMユーザーを作成した場合は別のIAMグループを作成し、追加する。
【問題5】
インラインポリシーをアタッチできる対象を全て選択してください。
A.IAMユーザー
B.IAMロール
C.IAMグループ
D.S3、ECR
【問題6】
あるIAMユーザーAとBに同じ名前のインラインポリシーをアタッチしました。
インラインポリシーの中身は同じ内容です。
運用の見直しの結果、IAMユーザBが不要となったため、削除することとなりました。
このときIAMユーザーAおよびIAMユーザーBに発生する事象について
正しく述べている文を一つ選択してください。
A.IAMユーザーB削除しても、IAMユーザーAは何も変わらない。
IAMユーザーBは削除時、自身にアタッチされたインラインポリシーごと削除される。
B.IAMユーザーBを削除した場合、IAMユーザーAの権限のうち、IAMユーザーBと
同名のインラインポリシーに記載されている権限のみがはく奪される。
C.IAMユーザーAはIAMユーザーBと同名のインラインポリシーを共用しているため、
IAMユーザーBを削除するとIAMユーザーAも削除される。
D.IAMユーザーBはIAMユーザーBと同名のインラインポリシーを共用しているため、
そのままではIAMユーザーBを削除できない。
【問題7】
3つのIAMユーザーA,B,Cはある一つのIAMグループに所属している。
この3つのIAMユーザーに対し、同じ許可ポリシー(AWS管理ポリシー)と
同じアクセス許可の境界を設定したい。次のうち正しい方法を1つ選択してください。
A.各IAMユーザーA,B,Cごとに許可ポリシーをアタッチし、
各IAMユーザーA,B,Cごとにアクセス許可の境界を設定する。
B.各IAMユーザーA,B,Cごとに許可ポリシーをアタッチし、
IAMグループにアクセス許可の境界を設定する。
C.IAMグループに許可ポリシーをアタッチし、
各IAMユーザーA,B,Cごとにアクセス許可の境界を設定する。
D.IAMグループに許可ポリシーをアタッチし、
IAMグループにアクセス許可の境界を設定する。
【問題8】
IAMユーザA,B,Cがあり、それぞれ以下の許可ポリシーがアタッチされている。
IAMユーザA:S3のkogumaバケット list(許可) read(許可) write(許可)
IAMユーザB:S3のkogumaバケット list(許可) read(許可) write(拒否)
IAMユーザC:S3のkogumaバケット 記載なし
一方、S3のkogumaバケットのバケットポリシーは以下のようになっている。
IAMユーザーA list(許可) read(記載なし) write(拒否)
IAMユーザーB 記載なし
IAMユーザーC list(許可) read(許可) write(許可)
この時、正しい内容を記載しているものを3つ選択してください。
A.IAMユーザーAはS3のkogumaバケットに対して、list、readができる。
B.IAMユーザーAはS3のkogumaバケットに対して、listのみができる。
C.IAMユーザーBはS3のkogumaバケットに対して、list、readができる。
D.IAMユーザーBはS3のkogumaバケットに対して、何もできない。
E.IAMユーザーCはS3のkogumaバケットに対して、list、read、writeができる。
F.IAMユーザーCはS3のkogumaバケットに対して、何もできない。
【問題9】
組織SCPとして「AmazonEC2ReadOnlyAccess」がアタッチされたあるAWSアカウントがある。
このAWSアカウント内のIAMユーザーAの「アクセス許可の境界」には
「AmazonEC2FullAccess」がアタッチされている。
この時、IAMユーザーAがEC2インスタンスを閲覧しようとしたところ、操作が拒否された。
この原因として考えられる内容として最も正しいものを1つ選択してください。
A.IAMユーザーAに「AmazonEC2ReadOnlyAccess」などの許可ポリシーをアタッチしていないから
B.組織SCPでこのAWSアカウント全体の行動範囲が制限されているから
C.アクセス許可の境界でこのIAMユーザーAの行動範囲が制限されているから
D.EC2のリソースベースのポリシーで明示的な拒否がされているから
【問題10】
IAMロールの「信頼ポリシー」について正しく記載しているものを1つ選択してください。
A.信頼ポリシーは「アイデンティティベースのポリシー」であり、IAMロールにおいて、
そのロールを利用することを許可する信頼する相手について記載する「インラインポリシー」である。
B.信頼ポリシーは「アイデンティティベースのポリシー」であり、IAMロールにおいて、
そのロールを利用することを許可する信頼する相手について記載する「カスタマー管理ポリシー」である。
C.信頼ポリシーは「リソースベースのポリシー」であり、IAMロールにおいて、
そのロールを利用することを許可する信頼する相手について記載する「カスタマー管理ポリシー」である。
D.信頼ポリシーは「リソースベースのポリシー」であり、IAMロールにおいて、
そのロールを利用することを許可する信頼する相手について記載する「インラインポリシー」である。
全てオリジナル問題です。
ここまで説明してきた内容をベースに作成しています。
回答は次回!
読んで下さってありがとうございました!
この記事が参加している募集
この記事が気に入ったらサポートをしてみませんか?