Q19 — AWS DOP-C02 第1章
第 19/100 問 | ← 第1章
ある企業が最近別の企業を買収しました。買収された企業を既存のAWS Organizationsに追加し、新しい組織単位(OU)として統合することになりました。 ある開発者エンジニアが、買収された企業が自社アプリケーションのワークロードに対応するためにT3インスタンスタイプのAmazon EC2インスタンスを起動する必要があることを確認しました。買収された企業は、米国(US)リージョンのみでこれらのインスタンスを展開する必要があります。 エンジニアは、買収された企業の新しいOUに対してService Control Policy(SCP)を適用し、T3インスタンスタイプのみを起動できるように制限する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. EC2:RunInstancesアクションを、EC2:InstanceType条件がT3と等しくない場合にすべてのEC2インスタンスリソースに対して拒否するステートメントを設定します。別のステートメントを設定し、aws:RequestedRegion条件がus-*と等しくない場合に、すべてのEC2インスタンスリソースに対してEC2:RunInstancesアクションを拒否します。 ✓
- B. EC2:RunInstancesアクションを、EC2:InstanceType条件がT3と等しくない場合にすべてのEC2インスタンスリソースに対して許可するステートメントを設定します。別のステートメントを設定し、aws:RequestedRegion条件がus-*と等しくない場合に、すべてのEC2インスタンスリソースに対してEC2:RunInstancesアクションを許可します。
- C. EC2:RunInstancesアクションを、EC2:InstanceType条件がT3と等しい場合にすべてのEC2インスタンスリソースに対して拒否するステートメントを設定します。別のステートメントを設定し、aws:RequestedRegion条件がus-*と等しい場合に、すべてのEC2インスタンスリソースに対してEC2:RunInstancesアクションを拒否します。
- D. EC2:RunInstancesアクションを、EC2:InstanceType条件がT3と等しい場合にすべてのEC2インスタンスリソースに対して許可するステートメントを設定します。別のステートメントを設定し、aws:RequestedRegion条件がus-*と等しい場合に、すべてのEC2インスタンスリソースに対してEC2:RunInstancesアクションを許可します。
正解: A. EC2:RunInstancesアクションを、EC2:InstanceType条件がT3と等しくない場合にすべてのEC2インスタンスリソースに対して拒否するステートメントを設定します。別のステートメントを設定し、aws:RequestedRegion条件がus-*と等しくない場合に、すべてのEC2インスタンスリソースに対してEC2:RunInstancesアクションを拒否します。
解説
AWS Service Control Policy(SCP)は、組織単位(OU)内の権限を制限することで、メンバー・アカウントの操作範囲を制御します。AWS公式ドキュメントによると、SCPで拒否型ポリシーを使用する場合、条件に合致しないリクエストを明示的に除外する必要があります。本問では、T3インスタンスタイプのみを起動可能かつ米国リージョンでのみデプロイ可能とする必要があります。選択肢Aの最初のポリシーはT3以外のインスタンスタイプを拒否し、2つ目のポリシーは米国以外のリージョンを拒否します。SCPはデフォルトで許可するため、指定条件以外のリクエストを明示的に拒否することで、要件に合致する操作のみを許可できます。他の選択肢は、許可型ポリシーを誤って使用(他の権限を上書きできない)、論理が逆(例:選択肢C)、またはリージョン制限が不適切(選択肢D)など、いずれも要件を満たしません。選択肢Aは「明示的な拒否」のベストプラクティスに合致します。出典:AWS SCP公式ドキュメント。