「Lv044」の記事一覧

DynamoDBテーブルへのアクセス制御において、IAMポリシーの `dynamodb:LeadingKeys` 条件キーを使用して、パーティションキーが「ユーザーID」と一致する項目のみアクセスを許可したい。このポリシーが正しく機能するための前提条件は何ですか。

アカウントAのEventBridgeルールから、アカウントBのイベントバスにイベントを送信する設定（クロスアカウントイベント送信）を行いました。アカウントB側でイベントを受信するために必須の設定はどれですか。

CloudFrontのOrigin Shieldは、通常のCloudFrontキャッシュとどう異なりますか。

Lambda関数の「拡張機能（Extensions）」として外部のセキュリティツール（監視エージェント等）を導入しました。この拡張機能が関数本体の実行に影響を与える可能性について正しい記述はどれですか。

EKSのPod Security Standards（PSS）またはPod Security Admission（PSA）を使用して、特権コンテナ（Privileged Container）の実行をクラスター全体で禁止したい。どのモードのポリシーを適用すべきですか。

VPC Traffic Mirroringでミラーリングされたパケットから、特定のプロトコル（例：SSH）や特定のポートのみを抽出してターゲットに送信したい。何を設定すべきですか。

Network FirewallでTLS Inspection（SSL可視化）を設定する際、クライアント（EC2等）が「証明書エラー」を出さないようにするために必要な運用作業は何ですか。

S3バケットポリシーで `NotPrincipal` を使用して、「特定のIAMユーザー以外は全て拒否」という設定を行いました。しかし、この設定によりS3のログ配信などのAWSサービスアクセスも拒否されてしまいました。これを回避するための正しいアプローチは何ですか。

IAMユーザーに `iam:PassRole` 権限を付与する際、セキュリティリスク（権限昇格）を最小限に抑えるために、`Resource` 要素で何を制限すべきですか。

CloudHSMキーストア（Custom Key Store）を使用するKMSキーについて、KMSサービス自体が利用できなくなった場合でも、直接CloudHSMクラスターにアクセスしてキーを使用（復号など）することはできますか。