Q96 — AWS ANS-C01 第1章

第 96/100 問 | ← 第1章

ある企業は、AWS Organizations内の組織にAWSアカウントを保有しています。同社は、ネットワーキング専用のAWSアカウントでAmazon VPC IP Address Manager(IPAM)を実装しています。同社は、AWS Resource Access Manager(AWS RAM)を用いてIPAMプールを他のAWSアカウントと共有しています。同社は、CIDRブロック10.0.0.0/8のトップレベルプールを作成しました。各AWSアカウントごとに、同社はトップレベルプール内にIPAMプールを作成しています。ネットワークエンジニアは、各AWSアカウントのユーザーが新しいVPCを作成できないようにするソリューションを実装する必要があります。また、ユーザーが既存のVPCにCIDRブロックを関連付けることを防ぐ必要があり、そのCIDRブロックは当該アカウントのIPAMプールからのものでなければならないとします。これらの要件を満たすソリューションはどれですか?

正解: B. Organizations内に新しいSCP(Service Control Policy)を作成します。Ipv4IpamPoolIdコンテキストキーの値がIPAMプールのIDでない場合に、CreateVpcおよびAssociateVpcCidrBlockのAmazon EC2アクションを拒否する条件を追加します。

解説

AWSサービスコントロールポリシー(SCP)は、組織レベルで権限を集中管理するためのものであり、メンバーアカウント内の特定操作を許可または禁止できます。本問の要件は、アカウントユーザーによるVPCの作成や、指定IPAMプール以外のCIDRブロックの関連付けを制限することです。選択肢Bは、条件付きで`Ipv4IpamPoolId`コンテキストキーを用いてEC2 API呼び出しを拒否するSCPを活用しており、不正な操作を即座に阻止できます。他の選択肢(AWS Configによる事後検出、Lambdaによる削除、EventBridge+Lambdaによるイベント応答)は、操作をリアルタイムで阻止できないため、要件を満たしません。AWS SCPドキュメントでは、グローバルコンテキストキーを用いたリソース作成制御について言及されています。