Q20 — AWS DOP-C02 第1章

第 20/100 問 | ← 第1章

ある企業がAWS Organizations内で組織単位(OU)を使用してAWSアカウントを管理しています。同社の自動化アカウントには、新しいAWSアカウントの作成および設定を行うCI/CDパイプラインが含まれています。 同社には、組織内のアカウントにサービスを提供する内部サービスチームがあり、一連のサービスアカウントを介して運用されています。CreateAccount API呼び出しによって新しいアカウントが作成された際に、サービスチームはサービスアカウント内でAWS CloudTrailイベントを受信したいと考えています。 企業は、このCloudTrailイベントをサービスアカウントとどのように共有すべきですか?

正解: A. 自動化アカウントでAmazon EventBridgeルールを作成し、アカウント作成イベントをサービスアカウントのデフォルトイベントバスに送信します。サービスアカウントのデフォルトイベントバスのリソースポリシーを更新し、自動化アカウントからのイベントを許可します。

解説

AWS EventBridgeのデフォルトイベントバスは、クロスアカウントイベント伝達をサポートしています。AWS公式ドキュメントによると、ソースアカウントからターゲットアカウントのデフォルトイベントバスへイベントを送信するには、ターゲットアカウントのデフォルトバスのリソースポリシーに、ソースアカウントからのイベント送信を許可する権限を追加する必要があります。選択肢Aの手順はこのメカニズムに合致しており、自動化アカウントがルールを作成してイベントをサービスアカウントのデフォルトバスにルーティングし、サービスアカウントがポリシーを更新して自動化アカウントからのアクセスを許可することで、クロスアカウントイベント伝達を実現します。他の選択肢はカスタムバスや複雑な構成を含み、問題文で求められているデフォルトバスの直接利用というシナリオには適合しません。