セキュアなアーキテクチャの設計応用問題
あなたの会社では、EC2インスタンスにIAMロールを割り当て、S3バケットへのアクセス権限を付与しています。そのIAMロールに紐づく信頼ポリシー(Trust Policy)から「ec2.amazonaws.com」を削除した場合、既に起動中のEC2インスタンスの動作はどうなりますか?
A.既に起動中のEC2インスタンスは引き続きS3へアクセスできるが、新しいEC2インスタンスはロールを引き受けられなくなる
✗ 新規インスタンスのみでなく、既存インスタンスの一時認証情報の更新も影響を受けます。
B.既に起動中のEC2インスタンスは即座にS3へのアクセスができなくなる
✗ 既存の一時認証情報はすぐには無効化されず、有効期限が切れるまでは使用可能です。
C.既に起動中のEC2インスタンスへの影響はなく、ロールの変更は次回インスタンス再起動後に反映される
✗ 再起動は関係なく、一時認証情報の有効期限切れのタイミングで更新不可になります。
D.既に起動中のEC2インスタンスは引き続きS3へアクセスできるが、一時的な認証情報の有効期限が切れた後は更新できなくなる← 正解
✓ 正解です。既存の一時認証情報は有効期限まで使えますが、期限後の更新はできなくなりアクセス不可となります。