Q21 — AWS DOP-C02 第1章
第 21/100 問 | ← 第1章
ある企業がAWS Organizations内で組織単位(OU)を使用してAWSアカウントを管理しています。開発者エンジニアは、組織内の異なるUSリージョンのアカウントを複数管理する必要があります。対象となるリソース(例:あるアカウント内のIAMポリシーおよびAmazon S3ポリシー)はすべてAWS CloudFormationテンプレートでデプロイされています。これらのテンプレートおよびコードは、AWS CodeCommitリポジトリに保存されています。最近、一部の開発者が組織内の特定のアカウントでS3バケットへのアクセスができなくなりました。 以下のポリシーがS3バケットにアタッチされています: 開発者エンジニアは、このアクセス問題を解決するために何を行うべきですか?
- A. S3バケットポリシーを修正します。S3バケット上のS3 Block Public Access設定を無効にします。S3ポリシーにaws:SourceAccount条件を追加し、この問題に直面しているすべての開発者のAWSアカウントIDを指定します。
- B. IAMパーミッション境界が開発者のS3バケットへのアクセスを拒否していないか確認します。必要に応じてIAMパーミッション境界を変更します。問題が発生している個々の開発者アカウントでAWS Config Recorderを使用して、アクセスをブロックしている可能性のある変更を復元します。修正をCodeCommitリポジトリにコミットし、CloudFormationデプロイを呼び出して変更を適用します。
- C. 誰も開発者OU内のIAMリソースを変更できないようにするSCPを設定します。S3ポリシーにaws:SourceAccount条件を追加し、この問題に直面しているすべての開発者のAWSアカウントIDを指定します。修正をCodeCommitリポジトリにコミットし、CloudFormationデプロイを呼び出して変更を適用します。
- D. SCPが開発者のS3バケットへのアクセスをブロックしていないことを確認します。IAMポリシーのパーミッション境界が開発者のIAMユーザーへのアクセスを拒否していないことを確認します。CodeCommitリポジトリ内のSCPおよびIAMポリシーのパーミッション境界について必要な変更を行い、CloudFormationデプロイを呼び出して変更を適用します。 ✓
正解: D. SCPが開発者のS3バケットへのアクセスをブロックしていないことを確認します。IAMポリシーのパーミッション境界が開発者のIAMユーザーへのアクセスを拒否していないことを確認します。CodeCommitリポジトリ内のSCPおよびIAMポリシーのパーミッション境界について必要な変更を行い、CloudFormationデプロイを呼び出して変更を適用します。
解説
本問は、複数のAWSアカウントを管理する開発者エンジニアが、一部の開発者がS3バケットにアクセスできないという状況を説明しています。S3バケットポリシーは特定の操作を許可していますが、開発者が適切な権限を持っていることを保証する必要があります。選択肢Dは、SCPが開発者のS3バケットへのアクセスをブロックしていないこと、およびIAMポリシーのパーミッション境界が開発者のIAMユーザーへのアクセスを拒否していないことを確認することを提案しています。これらのポリシーに必要な変更を行い、CloudFormationを介してデプロイすることで、アクセス問題を包括的に解決できます。これはIAMおよびSCPの設定を網羅する最も包括的なソリューションです。