Q21 — AWS DOP-C02 第1章

第 21/100 問 | ← 第1章

ある企業がAWS Organizations内で組織単位(OU)を使用してAWSアカウントを管理しています。開発者エンジニアは、組織内の異なるUSリージョンのアカウントを複数管理する必要があります。対象となるリソース(例:あるアカウント内のIAMポリシーおよびAmazon S3ポリシー)はすべてAWS CloudFormationテンプレートでデプロイされています。これらのテンプレートおよびコードは、AWS CodeCommitリポジトリに保存されています。最近、一部の開発者が組織内の特定のアカウントでS3バケットへのアクセスができなくなりました。 以下のポリシーがS3バケットにアタッチされています: 開発者エンジニアは、このアクセス問題を解決するために何を行うべきですか?

正解: D. SCPが開発者のS3バケットへのアクセスをブロックしていないことを確認します。IAMポリシーのパーミッション境界が開発者のIAMユーザーへのアクセスを拒否していないことを確認します。CodeCommitリポジトリ内のSCPおよびIAMポリシーのパーミッション境界について必要な変更を行い、CloudFormationデプロイを呼び出して変更を適用します。

解説

本問は、複数のAWSアカウントを管理する開発者エンジニアが、一部の開発者がS3バケットにアクセスできないという状況を説明しています。S3バケットポリシーは特定の操作を許可していますが、開発者が適切な権限を持っていることを保証する必要があります。選択肢Dは、SCPが開発者のS3バケットへのアクセスをブロックしていないこと、およびIAMポリシーのパーミッション境界が開発者のIAMユーザーへのアクセスを拒否していないことを確認することを提案しています。これらのポリシーに必要な変更を行い、CloudFormationを介してデプロイすることで、アクセス問題を包括的に解決できます。これはIAMおよびSCPの設定を網羅する最も包括的なソリューションです。