type
status
date
slug
summary
tags
category
icon
password
书籍
理論
1. MFA(マルチファクター認証)
- MFAは、ユーザーがアクセスする際に追加の認証手段を要求するセキュリティ機能です。通常のパスワードに加え、物理的なデバイスやアプリを使って認証します。
- AWSでは、IAMユーザーや管理者アカウントにMFAを設定することで、不正アクセスを防止できます。
2. 一時的な認証情報(AWS STS)
- *AWS Security Token Service (STS)**を利用すると、一時的で期限付きの認証情報を発行できます。
- 一時的認証情報は、通常のアクセスキーとは異なり、短期間で有効期限が切れるため、リスクを減らすことができます。
- STSを利用することで、長期間有効なアクセスキーを使う必要がなくなり、セキュリティが向上します。
3. IAMポリシーでのMFA要求
- IAMポリシーを使って、MFAが必要な操作を定義することができます。例えば、S3へのアクセスや特定の管理操作に対してMFAを必須とするポリシーを設定することができます。
- これにより、万が一アクセスキーが漏洩しても、MFAがないと操作が実行できないため、セキュリティが強化されます。
4. アクセスキーの管理
- AWSでは、アクセスキーを使ってCLIやSDKを通じてアクセスしますが、これを長期間使用することはセキュリティリスクを高めます。
- 最適なセキュリティ実践として、一時的な認証情報を使用したアクセスや、アクセスキーの定期的なローテーションが推奨されます。
結論:
MFAと一時的な認証情報(AWS STS)を組み合わせることで、AWS環境でのセキュリティを強化し、アクセスキーの管理に伴うリスクを軽減できます。
実践
略
一問道場
質問 #454
ソリューションアーキテクトは、クラウドエンジニアチームがAWS CLIを使用してAmazon S3バケットにオブジェクトをアップロードするためのセキュアな方法を提供する必要があります。
各クラウドエンジニアはIAMユーザー、IAMアクセスキー、仮想マルチファクター認証(MFA)デバイスを持っています。クラウドエンジニア用のIAMユーザーは「S3-access」という名前のグループに属しています。クラウドエンジニアはAmazon S3でアクションを実行するためにMFAを使用しなければなりません。
どのソリューションがこれらの要件を満たしますか?
A. S3バケットにポリシーをアタッチして、IAMユーザーがS3バケットでアクションを実行する際にMFAコードの入力を促します。IAMアクセスキーを使用してAWS CLIからAmazon S3を呼び出します。
B. S3-accessグループの信頼ポリシーを更新して、グループを引き受ける際にMFAの使用を要求します。IAMアクセスキーを使用してAWS CLIからAmazon S3を呼び出します。
C. S3-accessグループにポリシーをアタッチして、MFAが存在しない場合はすべてのS3アクションを拒否します。IAMアクセスキーを使用してAWS CLIからAmazon S3を呼び出します。
D. S3-accessグループにポリシーをアタッチして、MFAが存在しない場合はすべてのS3アクションを拒否します。AWS Security Token Service(AWS STS)から一時的な認証情報を要求します。一時的な認証情報をAmazon S3が参照するプロファイルにアタッチし、ユーザーがAmazon S3でアクションを実行する際に使用します。
解説
この問題では、クラウドエンジニアがMFAを使ってAWS CLIでS3にオブジェクトをアップロードする方法を選ぶ必要があります。
- 選択肢A、B、Cは、アクセスキーを使い続けるため、アクセスキーの管理が必要であり、要件に合いません。
- 選択肢Dは、一時的な認証情報(STS)を使用し、MFAを強制するポリシーを設定することで、アクセスキーの管理を避けつつセキュリティを強化します。
したがって、選択肢Dが正解です。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/17bd7ae8-88e2-80ed-813d-c8022ae65476
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
