AWS認定資格 無料問題集

解答・解説

第15問 AWS におけるルート・アカウントの管理

 あなたは、AWS クラウド・サービスで構築されたシステム環境の管理者をしています。AWS アカウント管理におけるルート・アカウント(ルート・ユーザー)を保護するための対応を選択してください。

  1. ルート・ユーザーのアクセスキーを作成しない。 [正しい解答]
  2. システム運用の責任者アカウントとしてのみ利用する。
  3. AWS CloudHSM による世界基準の多要素認証を実装する。
  4. Amazon GuardDuty による管理を徹底する。

(問題ID:CLF202C015)

解答

正しい解答:A. ルート・ユーザーのアクセスキーを作成しない。

△ 判定不能

 URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

 AWS アカウントのルート・ユーザーは、AWS アカウントを最初に作成した際に登録したEメールアドレスとパスワードを使用してサインインするアカウントです。このルート・ユーザーはあらゆる設定や変更・削除が可能な特別な管理者権限を持つユーザー・アカウントです。
 AWS IAM(Identity and Access Management)では、AWS リソース及びサービスに対するフルアクセスを提供する権限として、AdministratorAccess 権限という IAM ポリシーが用意されています。ルート・ユーザーは、この AdministratorAccess 権限の範囲に留まらず、AWS アカウント自体を削除したり、契約を変更するといった AWS アカウントとしての管理者権限も有しています。アクセスキーは非常に便利ではありますが、ルート・ユーザーで利用すると、機密性の高い情報を含めたアカウントのすべてのリソースに無制限にかつ容易にアクセスすることができるようになります。そのため、セキュリティ上、ルート・ユーザーでアクセスキーを利用するべきではありません。本件とは別の問題として、AWS アカウントのルート・ユーザーのアクセスキーが既にあるような記載がされている場合は、すぐに削除するといった選択肢を選ぶようにしましょう。
 このようにルート・ユーザーは権限が強すぎるため、AWSの指針としては日常的な運用業務で使用するべきではないとされています。ルート・ユーザーの利用は、最初に管理用 IAM ユーザーを作成した後は契約変更に限定するようにしましょう。システム運用の責任者アカウントであっても、必要な権限を付与した IAM ユーザーを別途作成して使用することが推奨されています。
 「システム運用の責任者アカウントとしてのみ利用する」の選択肢はルート・ユーザーの利用が責任者アカウントに限定されているため、一見正解のように見えますが、責任者であっても、通常の運用業務として利用するべきではなく、正しい解答ではありません。また、AWS CloudHSM により世界基準の多要素認証を実装することはできません。AWS CloudHSM は、世界的な基準に準拠した安全な HSM(Hardware Security Module)を使用して、暗号キーのアクセス管理制御と保護を提供するマネージド型のサービスです。また、Amazon GuardDuty は悪意のある操作や不正な動作を継続的に監視して、脅威を検出するマネージド型のサービスです。AWS のルート・アカウントを保護するための対応ではありません。


ちなみに...
 ルート・ユーザーは、上述した AdministratorAccess 権限の範囲に留まらず、AWS アカウントの契約を変更することができる権限を持っていますが、一方で、AWS IAM ユーザーとして作成されたユーザーは、管理者権限である AdministratorAccess 権限を持っていても AWS との契約変更や請求情報の確認を実施することはできません。その他、ルート・アカウントの詳細は、AWS 社の下記のサイトのページを参照ください。

AWS アカウントのルートユーザー:
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-user.html

問題掲載日:2024-07-22


Information

What's New

  • 2025/4/24 問題ID: CLF202C014 AWS Config の機能・サービス内容に関する問題を加筆・修正しました。
  • 2025/4/21 問題ID: CLF202C010 世界基準に準拠した暗号化サービスの利用に関する問題を加筆・修正しました。
  • 2025/4/20 問題ID: CLF203C073 5Gネットワークを利用する場合の最適なサービスに関する問題を加筆・修正しました。
  • 2025/4/20 問題ID: CLF202C060 アプリケーション通信の暗号化に利用するサービスに関する問題を加筆・修正しました。
  • 2025/4/19 問題ID: CLF101C040 仮想デスクトップ環境を提供するサービスに関する問題を追加しました。

Reference Books

図解即戦力 AWS のしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版]

図解即戦力 AWS のしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版]
詳細・購入はこちら

 これからIT業界に転職することを考えている方やエンジニア1年生の方などで、緑のテキストが少し難しく感じる人にお薦めの1冊です。AWSのしくみや技術をわかりやすく解説する図解本となっています。さらに、2025年4月21日に頁数を大幅に増やして、よりたくさんのサービスをフルカラーの図解で解説する第2版がリリースされました。これからの購入を検討されている方はこちらを確認ください。

AWS 認定クラウドプラクティショナー 資格試験テキスト(改訂第3版)

AWS 認定クラウドプラクティショナー 資格試験テキスト(改訂第3版)
詳細・購入はこちら

 AWS クラウドプラクティショナーのテキストとして必ず紹介されるような定番の参考書です。ひと通り学習した後に、本サイトで問題演習をすることにより効果的に知識の定着を図ることができます。