→IAMロールを利用
→使わない
・顧客のアカウントに、読み取り専用のEC2とCloudWatch権限と、会社のアカウントへの信頼ポリシーを持つIAMロールを作成するようになります
この選択肢が正解の理由は以下の通りです。
まず、IAMロールは他のAWSサービスやエンティティがAWS APIを呼び出すための信頼されたエンティティのセキュリティ認証情報を提供します。IAMロールを使用することで、他のAWSアカウントとの安全な委譲が可能になり、適切な権限を持つエンティティだけが必要な操作を行うことを保証できます。
また、このケースでは、最小権限の原則に則って、ロールへの権限を「読み取り専用のEC2とCloudWatch権限」に限定しています。これにより、会社が顧客のアカウントで実行できる操作が限定され、セキュリティを高めることができます。
選択肢:顧客がアカウントにAmazon Cognitoユーザーを作成し、読み取り専用のEC2とCloudWatch権限を持つIAMロールを使用するようになります。Amazon Cognitoユーザーとパスワードを暗号化し、シークレット管理システムに保存します
この選択肢が正しくない理由は以下の通りです。
Amazon Cognitoはユーザー認証のためのサービスで、インフラ監視のようなサーバー間のやり取りには適しておらず、顧客アカウントのAPIを呼び出すためのアクセス権限を直接持ちません。
一方、IAMロールはAPIの呼び出しが可能で、より適当な選択肢です。
コメント