T3-Q64: 最小権限ポリシー生成はCloudTrail実績を取ってからAccess Analyzerで生成する
既存管理ポリシーを外してから生成しようとした誤答を、CloudTrailベースのAccess Analyzer policy generationで補強する。
AWS SCS-C03 IAM Access Analyzer CloudTrail
対象誤答: T3 Q64 ACCESS ANALYZER POLICY GENERATION
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | 既存のAWS管理ポリシーを削除し、Access Analyzer Role Policy Generatorをロールにアタッチしてからスクリプトを実行する。 |
| 正答 | 既存の管理ポリシーが付いた状態でスクリプトを実行し、CloudTrailのアクセスアクティビティに基づいてAccess Analyzerで新しいポリシーを生成し、置き換える。 |
| 誤答の引力 | 最小権限化したいあまり、実行に必要な権限を先に外してしまっている。Access AnalyzerはCloudTrailに残った実績から生成する。 |
| 判断軸 | 権限を削る前に、動く状態で実績を取る。CloudTrailに記録された利用アクションをAccess Analyzerが解析し、fine-grained policyの土台を作る。 |
この問題の芯
T3-Q64 は、EC2/DynamoDB/VPCの広いAWS管理ポリシーを持つスクリプト実行ロールを、最小権限のポリシーに置き換えたい問題。あなたは既存ポリシーを先に削除してから生成しようとした。正答は、動く状態でスクリプトを実行し、CloudTrailの実績を使ってIAM Access Analyzerでポリシー生成すること。
ポリシー生成は「実績ベース」
IAM Access Analyzer の policy generation は、CloudTrailに残ったアクセスアクティビティを分析し、使われたサービス/アクションからポリシーテンプレートを作る。
そのため、先に既存の広い権限を外すと、スクリプトが必要なAPIを呼べず、実績が取れない。順番が逆。
正しい移行順
- 既存の管理ポリシーを付けたままCloudTrailを有効にする
- 対象スクリプトを代表的なワークロードで実行する
- Access AnalyzerでCloudTrail実績に基づくポリシーを生成する
- 生成ポリシーをレビューし、Resource/Conditionを詰める
- 新ポリシーをアタッチしてから、既存の広い管理ポリシーを外す
次回の秒殺ルール
Access Analyzer policy generation は「CloudTrail実績から作る」。
権限を外す前に実績を取る。
検証はAccess Analyzer、実績ベース生成はCloudTrail + Access Analyzer。
仕上げの一問一答
- この問題の主語は何か: IAM Role
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。