Q34 — AWS DOP-C02 第1章

第 34/100 問 | ← 第1章

ある企業は複数のチームに分かれています。各チームは個別のAWSアカウントを所有しており、これらのアカウントはすべてAWS Organizations内の単一の組織に属しています。各チームは、自社のAWSアカウントに対する完全なセキュリティ管理権限を持っています。また、各チームは、企業が承認したAWSサービスのみにアクセスできるよう制限されています。AWSサービスへのアクセスは、リクエストおよび承認プロセスを通じて許可されます。

正解: D. 承認済みのAWSサービスへのアクセスのみを許可するSCPを作成し、そのSCPを組織のルートOUにアタッチします。組織のルートOUからFullAWSAccess SCPを削除します。

解説

本問は、AWS Organizationsにおけるサービス制御ポリシー(SCP)の適用ロジックを問うものです。SCPは組織レベルの権限境界であり、ルート組織単位(OU)にアタッチすることで、すべての子アカウントに適用され、アカウント内でのIAM管理権限には影響を与えません。承認済みサービスのみを許可するSCPをルートOUにアタッチし、デフォルトのFullAWSAccess SCPを削除することで、白リスト方式の制御が有効になり、すべての子アカウントは指定されたサービスのみにアクセス可能となり、かつアカウントレベルでの完全な管理権限を維持できます。これは、「サービス範囲の集中管理」と「アカウントの自律性の確保」という両方の要件を完璧に満たします。