Q35 — AWS DOP-C02 第1章
第 35/100 問 | ← 第1章
ある企業が、複数のチームでAWSを活用し始めました。各チームは複数のアカウントを保有し、それぞれ独自のセキュリティ構成を持っています。この企業は、業界標準のセキュリティ規範に基づいて、組織全体のアカウントを管理しています。各アカウントには独自の構成およびセキュリティコントロールが適用されています。 開発チームは、予防的および検知的なコントロールを活用して、現在のアカウントのコンプライアンスを管理したいと考えています。また、組織内で新しいアカウントが作成される際には、セキュリティチームが既存および将来のアカウントのセキュリティを確実に保証する必要があります。
- A. 組織によって作成されたOUに適切なSCPをアタッチし、各チームのアカウントを適切なOUに配置してセキュリティ制御を実施します。新しいチームアカウントは適切なOU内に作成します。
- B. AWS Control Towerのランディングゾーンを構築します。既存のチームに対して、OUおよびAWS Control Tower内の適切なガードレール(コントロール)を構成します。AWS Control Towerの信頼されたアクセスを構成し、各チームの適切なセキュリティポリシーに合致する適切なOUに既存のアカウントを登録します。新しいアカウントはAWS Control Towerを介して提供します。 ✓
- C. 組織の管理アカウントでAWS CloudFormationスタックセットを作成します。スタックセットを構成し、組織内のすべてのアカウントに構成ルールおよびすべてのコントロールの修復アクションを展開します。新規アカウント作成時にスタックセットを更新して、そのアカウントにも展開します。
- D. AWS Configを構成して、組織内のすべてのAWSアカウントでAWS Configルールを管理します。コンシステンシーパックをデプロイし、組織全体でAWS Configルールおよび修復アクションを提供します。
正解: B. AWS Control Towerのランディングゾーンを構築します。既存のチームに対して、OUおよびAWS Control Tower内の適切なガードレール(コントロール)を構成します。AWS Control Towerの信頼されたアクセスを構成し、各チームの適切なセキュリティポリシーに合致する適切なOUに既存のアカウントを登録します。新しいアカウントはAWS Control Towerを介して提供します。
解説
AWS Control Towerは、マルチアカウント環境の管理に特化したサービスであり、事前定義されたランディングゾーン(着陸域)を提供し、アカウント構造およびセキュリティポリシーの設定を簡素化します。組織単位(OU)およびガードレール(保護策)を活用することで、コンプライアンス制御を自動的に適用できます。アカウントを対応するOUに割り当てることで、事前に定義されたセキュリティベースラインを継承でき、Control Tower経由で新規アカウントを作成すれば、自動的にポリシーが適用されます。公式ドキュメントによると、Control TowerはOrganizations、SCP、Configなどのサービスを統合し、集中型・標準化されたアカウントガバナンスを実現し、継続的なセキュリティ管理の要件を満たします。選択肢Bは、Control Towerを活用して既存および将来のアカウントのコンプライアンス制御を自動化するプロセスを正確に記述しています。他の選択肢は、マルチアカウントの統一的な編成や新規アカウントの自動化に対応していません。