Q14 — AWS DOP-C02 第1章
第 14/100 問 | ← 第1章
ある企業はAWS Organizationsを使用して複数のAWSアカウントを管理しています。同社はAWS CloudFormation StackSetsを使用して、各メンバー アカウントでAWS Configを有効化しています。Organizations内でAWS Configの信頼アクセスを設定し、メンバー アカウントの1つをAWS Configの委任管理者アカウントとして設定しています。 DevOpsエンジニアは新たなセキュリティポリシーを実装する必要があります。このポリシーは、現在および将来のすべてのAWSメンバー アカウントが共通のAWS Configルール基盤を使用することを要求し、その基盤には中央アカウントが管理する修復措置が含まれます。メンバー アカウントへのアクセスを持つ非管理者ユーザーは、各メンバー アカウントにデプロイされたAWS Configルールのこの共通基盤を変更できないようにする必要があります。
- A. AWS Configルールおよび修復措置を含むCloudFormationテンプレートを作成します。OrganizationsのマスターアカウントからCloudFormation StackSetsを使用してテンプレートをデプロイします。
- B. AWS Configルールおよび修復措置を含むAWS Configコンプライアンスパックを作成します。OrganizationsのマスターアカウントからCloudFormation StackSetsを使用してパックをデプロイします。
- C. AWS Configルールおよび修復措置を含むCloudFormationテンプレートを作成します。委任管理者アカウントからAWS Configを使用してテンプレートをデプロイします。
- D. AWS Configルールおよび修復措置を含むAWS Configコンプライアンスパックを作成します。委任管理者アカウントからAWS Configを使用してパックをデプロイします。 ✓
正解: D. AWS Configルールおよび修復措置を含むAWS Configコンプライアンスパックを作成します。委任管理者アカウントからAWS Configを使用してパックをデプロイします。
解説
問題文の説明によると、企業はすべての現在および将来のAWSメンバー アカウントが共通のAWS Configルール基盤を使用し、これらのルールが中央アカウントによって管理され、非管理者ユーザーが各メンバー アカウントにデプロイされたAWS Configルールのこの共通基盤を変更できないようにする必要があります。選択肢Dは、AWS Configルールおよび修復措置を含むAWS Configコンプライアンスパックを作成し、委任管理者アカウントからAWS Configを使用してパックをデプロイするというソリューションです。これにより、すべてのメンバー アカウントが同一の構成ルールを使用し、これらのルールは委任管理者アカウントによって管理されるため、非管理者ユーザーは変更できません。したがって、Dが正しい答えです。