セキュリティとコンプライアンス応用問題
あるIAMユーザーに対して、「S3への完全アクセス(Allow)」を付与するアイデンティティベースポリシーが適用されています。さらに、同一ユーザーに「S3へのアクセスをすべて拒否(Deny)」するアイデンティティベースポリシーが追加で適用された場合、このユーザーのS3アクセス権限はどうなりますか?
A.後から追加されたDenyポリシーが優先され、S3へのアクセスはすべて拒否される← 正解
✓ 正解です。IAMポリシーの評価ロジックでは、明示的なDenyは常にAllowより優先されます。どちらのポリシーが先かは関係ありません。
B.2つのポリシーが競合するため、どちらも無効となりS3アクセスは不明確な状態になる
✗ IAMポリシーが競合した場合、無効や不明確になることはなく、明示的なDenyが必ず優先されるというルールが適用されます。
C.Allowポリシーが優先されるため、S3への完全アクセスは引き続き許可される
✗ IAMの評価では、AllowよりもDenyが常に優先されます。Allowポリシーが優先されることはありません。
D.AWSサポートに問い合わせるまでアクセス権限は保留状態となる
✗ IAMポリシーの評価はAWSが自動的に行うもので、サポートへの問い合わせは不要です。Denyが優先というルールで即座に決定されます。