tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWS設定比較
約14分
専門
9/10
2025年8月5日

AWS SCS-C02 対策 IAMポリシー問題対策手法

IAMポリシー問題を権限不足パターンで体系的解説。CloudWatch Logs・KMS暗号化・マルチアカウント分離の必須権限パターンを実践問題で習得。

この記事のポイント

  • 1
    CloudWatch Logs基本権限セットをマスターする
  • 2
    KMSクロスリージョン暗号化の権限パターンを理解する
  • 3
    マルチアカウント分離のベストプラクティスを習得する

目次

IAMポリシー問題の基本パターン

SCS-C02試験のIAMポリシー問題は、権限不足による動作不良を見つけ出し、適切な権限を特定する問題が中心です。これらの問題は、具体的な権限パターンを暗記することで確実に正解できます。

CloudWatch Logs基本権限セット

重要なCloudWatch Logs権限問題では、Lambda関数やEC2インスタンスからログが出力されない現象が扱われます。CloudWatch Logsへの書き込みには、以下の3つの権限がすべて必要です:

logs:CreateLogGroup

ロググループを作成する権限

logs:CreateLogStream

ロググループ内にログストリームを作成する権限(最も見落としやすい)

logs:PutLogEvents

ログストリームにログイベントを書き込む権限

logs:CreateLogStreamが欠落している問題は特に重要です。「ログストリームの読み込みエラー」というメッセージが表示される場合、これが原因です。

KMSクロスリージョン暗号化パターン

S3クロスリージョンレプリケーションでKMS暗号化されたオブジェクトが複製されない問題では、両方向の暗号化権限が必要です:

kms:Decrypt

ソースリージョンのKMSキーでオブジェクトを復号化する権限

kms:Encrypt

デスティネーションリージョンのKMSキーでオブジェクトを暗号化する権限

kms:ReEncryptだけでは不十分です。KMSキーはリージョン固有のため、各リージョンのキーに対して個別の権限設定が必要です。

マルチアカウント分離戦略

開発環境から本番環境への不正アクセス問題では、アカウントレベルでの分離が最も強力な解決策です:

AWS Organizations

複数AWSアカウントの中央管理

サービスコントロールポリシー(SCP)

アカウントレベルでのガードレール設定

アカウント分離

開発・本番環境を完全に独立したアカウントで運用

権限不足問題の解法手順

IAMポリシー問題を確実に正解するには、体系的な解法手順に従うことが重要です。以下の3ステップで問題を分析しましょう。

段階的解決手順

IAMポリシー問題を解く際は、以下の順序で分析することで確実に正解を導き出せます:

よくある間違いパターン

試験でよく選ばれる間違い選択肢のパターンを理解しておくことで、正解率を向上させることができます:

権限不足系の間違い

logs権限でCreateLogStream忘れ(重要)、KMSで片方向権限のみ、リソース範囲指定ミス

権限過剰系の間違い

ワイルドカード(*)多用、Admin権限付与、不要なAction追加

設定ミス系の間違い

信頼関係設定忘れ、リージョン指定ミス、アカウントID間違い

実践問題で確実に習得

理論の理解だけでなく、実践問題を通じて権限不足パターンの見抜き方を身に付けましょう。

AWS認定セキュリティ - 専門知識

練習問題

あるセキュリティエンジニアが、管理者権限を持つIAMユーザーでAWS Lambdaコンソールにログインしています。このエンジニアは、DataProcessorという名前のLambda関数のログをAmazon CloudWatchで確認しようとしています。Lambdaコンソールで「CloudWatchでログを表示」オプションを選択すると、「ログストリームの読み込みエラー」というメッセージが表示されます。 Lambda関数の実行ロールに設定されているIAMポリシーは以下の通りです: ```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["logs:CreateLogGroup"], "Resource": ["arn:aws:logs:ap-northeast-1:123456789012:*"] }, { "Effect": "Allow", "Action": ["logs:PutLogEvents"], "Resource": ["arn:aws:logs:ap-northeast-1:123456789012:log-group:/aws/lambda/DataProcessor:*"] } ] } ``` セキュリティエンジニアは、このエラーをどのように修正すべきですか?

AWS認定セキュリティ - 専門知識

練習問題

ある企業のセキュリティチームは、コンプライアンス要件を満たすためにus-east-1リージョンのAmazon S3バケットからeu-west-1リージョンの別のS3バケットへのクロスリージョンレプリケーション(CRR)を設定しました。ソースバケットには、AWS KMSカスタマーマネージドキー(CMK)で暗号化されたオブジェクトと暗号化されていないオブジェクトの両方が含まれています。レプリケーション設定では、デスティネーションバケットでオブジェクトを暗号化するためにeu-west-1リージョンの別のカスタマーマネージドキーを使用するよう指定されています。 設定から24時間後、セキュリティチームは暗号化されていないオブジェクトはレプリケーションされているが、暗号化されたオブジェクトはレプリケーションされていないことに気づきました。レプリケーションに使用されるIAMロールには、ソースバケットとデスティネーションバケットへの適切なS3アクセス許可が付与されています。 この問題を解決するために、セキュリティチームが取るべき最も効果的な対策はどれですか?

AWS認定セキュリティ - 専門知識

練習問題

ある企業は、複数の開発チームが共同で使用するマルチアカウントAWS環境を運用しています。最近、あるチームが誤って本番環境のデータベースを削除する事故が発生しました。調査の結果、不適切なIAMアクセス許可が原因であることが判明しました。企業はセキュリティ管理を強化し、本番環境リソースを開発環境から分離して保護する必要があります。 この目的を達成するための最も効果的なアプローチはどれですか?

まとめ

SCS-C02試験のIAMポリシー問題は、具体的な権限パターンを暗記することで確実に得点できる分野です。以下の必須パターンを確実に習得しましょう:

CloudWatch Logs基本権限セット

CreateLogGroup + CreateLogStream + PutLogEvents(CreateLogStream忘れが重要)

KMSクロスリージョン両方向権限

ソースリージョンのDecrypt + デスティネーションリージョンのEncrypt

マルチアカウント分離

AWS Organizations + SCP によるアカウントレベル分離

判断基準

①エラーメッセージ分析 → ②必要権限セット確認 → ③リソース範囲確認の3ステップで、複雑な権限問題も体系的に解決できます。問題文で「ログストリームの読み込みエラー」「レプリケーションされない」「Access Denied」などのキーワードを見つけたら、該当する権限パターンを思い出して確実に正解を選択しましょう。

理解度チェック

CloudWatch Logs基本権限セット(CreateLogGroup, CreateLogStream, PutLogEvents)をすべて暗記できたか?

KMSクロスリージョン暗号化でソースのDecrypt権限とデスティネーションのEncrypt権限が両方必要であることを理解できたか?

マルチアカウント環境での分離にはAWS Organizations + SCPの組み合わせが最も効果的であることを理解できたか?

IAMポリシー問題の段階的解決手順(エラー分析→権限確認→リソース範囲確認)を使えるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する