Q34 — AWS DOP-C02 第1章
第 34/100 問 | ← 第1章
ある企業は複数のチームに分かれています。各チームは個別のAWSアカウントを所有しており、これらのアカウントはすべてAWS Organizations内の単一の組織に属しています。各チームは、自社のAWSアカウントに対する完全なセキュリティ管理権限を持っています。また、各チームは、企業が承認したAWSサービスのみにアクセスできるよう制限されています。AWSサービスへのアクセスは、リクエストおよび承認プロセスを通じて許可されます。
- A. AWS CloudFormationスタックセットを使用して、各アカウントにIAMポリシーを展開し、制限されたAWSサービスへのアクセスを拒否します。各アカウントでAWS Configルールを構成し、ポリシーがアカウント内のIAMエンティティにアタッチされていることを保証します。
- B. AWS Control Towerを使用して、アカウントを組織内のOU(Organizational Unit)に配置します。AWS Control Towerを構成してAWS IAM Identity Center(AWS SSO)を有効化します。IAM Identity Centerを構成して管理アクセス権限を提供し、制限されたAWSサービスへのアクセスを拒否するユーザーロールにポリシーを含めます。
- C. すべてのアカウントを組織内の新しい最上位OUの下に配置します。制限されたAWSサービスへのアクセスを拒否するSCP(Service Control Policy)を作成し、そのSCPをOUにアタッチします。
- D. 承認済みのAWSサービスへのアクセスのみを許可するSCPを作成し、そのSCPを組織のルートOUにアタッチします。組織のルートOUからFullAWSAccess SCPを削除します。 ✓
正解: D. 承認済みのAWSサービスへのアクセスのみを許可するSCPを作成し、そのSCPを組織のルートOUにアタッチします。組織のルートOUからFullAWSAccess SCPを削除します。
解説
本問は、AWS Organizationsにおけるサービス制御ポリシー(SCP)の適用ロジックを問うものです。SCPは組織レベルの権限境界であり、ルート組織単位(OU)にアタッチすることで、すべての子アカウントに適用され、アカウント内でのIAM管理権限には影響を与えません。承認済みサービスのみを許可するSCPをルートOUにアタッチし、デフォルトのFullAWSAccess SCPを削除することで、白リスト方式の制御が有効になり、すべての子アカウントは指定されたサービスのみにアクセス可能となり、かつアカウントレベルでの完全な管理権限を維持できます。これは、「サービス範囲の集中管理」と「アカウントの自律性の確保」という両方の要件を完璧に満たします。