Q53 — AWS DOP-C02 第1章
第 53/100 問 | ← 第1章
ある会社が AWS Organization 内で組織の所有者機能を有効化しました。この組織には 10 個の AWS アカウントが含まれています。同社は所有者アカウントで AWS CloudTrail を有効化しました。同社は、今後 1 年間で組織内の AWS アカウント数が 500 個まで増加すると予測しています。同社は、これらのアカウントに対して複数の OU を使用する計画です。 同社は、組織内の各既存の AWS アカウントで AWS Config を有効化しました。DevOps エンジニアは、今後組織内に作成される所有者 AWS アカウントに対して AWS Config を自動的に有効化するソリューションを実装する必要があります。 どのソリューションがこの要件を満たしますか?
- A. 組織の管理アカウントで、CreateAccount API 呼び出しに応答する Amazon EventBridge ルールを作成します。このルールを設定して、AWS Config を信頼されたアクセスで有効化する AWS Lambda 関数を呼び出します。
- B. 組織の管理アカウントで、AWS Config を有効化する AWS CloudFormation スタックセットを作成します。スタックセットを、組織によるアカウント作成時に自動的にデプロイされるように設定します。 ✓
- C. 組織の管理アカウントで、AWS Config API 呼び出しを許可する SCP(Service Control Policy)を作成します。この SCP をルートレベルの OU に適用します。
- D. 組織の管理アカウントで、CreateAccount API 呼び出しに応答する Amazon EventBridge ルールを作成します。このルールを設定して、アカウントに対して AWS Config を有効化する AWS Systems Manager Automation ドキュメントを呼び出します。
正解: B. 組織の管理アカウントで、AWS Config を有効化する AWS CloudFormation スタックセットを作成します。スタックセットを、組織によるアカウント作成時に自動的にデプロイされるように設定します。
解説
AWS CloudFormation スタックセットは、複数の AWS アカウントおよびリージョンにわたってリソースをデプロイするために使用されます。AWS の公式ドキュメントによると、スタックセットは、組織による新規アカウント作成時に自動的にデプロイされるように設定でき、新規アカウントに対して必要なサービスを自動的に有効化できます。選択肢 B は、スタックセットの自動デプロイ機能を活用しており、AWS Config の自動有効化という要件を満たします。選択肢 A および D はイベント駆動型であり、追加のトリガー設定および権限設定が必要です。選択肢 C の SCP はアクセス権限を管理するものであり、サービスの有効化を直接行うことはできません。正解は B です。