Q70 — AWS DOP-C02 第1章
第 70/100 問 | ← 第1章
ある企業が、AWS上で新しいアプリケーションをホストすることを決定しました。企業はマルチアカウント戦略を採用する必要があります。DevOpsエンジニアはAWS Organizations内で新しいAWSアカウントおよび組織を作成しました。さらに、組織に対してOU構造を作成し、AWS Control Towerを用いてランディングゾーンを設定しました。 DevOpsエンジニアは、AWS Control Tower Account Factoryを用いて新規アカウントを作成した際に、それらのアカウントへリソースを自動的にデプロイするソリューションを実装する必要があります。ユーザーが新規アカウントを作成すると、そのOUまたはアカウントに紐づくAWS CloudFormationテンプレートおよびSCP(Service Control Policy)が自動的に適用され、アカウントに追加のリソースがデプロイされる必要があります。対象のOUはすべてAWS Control Tower内で登録済みです。 これらの要件を最も自動化された形で満たすソリューションはどれですか?
- A. AWS Service CatalogとAWS Control Towerを統合します。AWS Service Catalog内でポートフォリオおよび製品を作成します。これらのリソースをプロビジョニングするための細かい権限を付与します。AWS CLIおよびJSONドキュメントを用いてSCPをデプロイします。
- B. 必要なテンプレートでCloudFormationスタックセットをデプロイします。自動展開を有効化します。スタックインスタンスを必要なアカウントへ展開します。組織のマスターアカウントへCloudFormationスタックセットをデプロイしてSCPをデプロイします。
- C. CreateManagedAccountイベントを検出するAmazon EventBridgeルールを作成します。AWS Service Catalogを、新規アカウントへのリソースデプロイをターゲットとして構成します。AWS CLIおよびJSONドキュメントを用いてSCPをデプロイします。
- D. Customizations for AWS Control Tower(CfCT)ソリューションをデプロイします。AWS CodeCommitリポジトリをソースとして使用します。リポジトリ内に、CloudFormationテンプレートおよびSCP JSONドキュメントを含むカスタムパッケージを作成します。 ✓
正解: D. Customizations for AWS Control Tower(CfCT)ソリューションをデプロイします。AWS CodeCommitリポジトリをソースとして使用します。リポジトリ内に、CloudFormationテンプレートおよびSCP JSONドキュメントを含むカスタムパッケージを作成します。
解説
本問では、AWS Control Tower Account Factory経由で新規アカウントが作成された際に、そのアカウントへリソースを自動デプロイし、OUまたはアカウント固有のAWS CloudFormationテンプレートおよびSCPを適用するソリューションが求められています。選択肢Dは、Customizations for AWS Control Tower(CfCT)ソリューションをデプロイし、AWS CodeCommitリポジトリをソースとして、CloudFormationテンプレートおよびSCP JSONドキュメントを含むカスタムパッケージを作成するという手法を提案しています。このソリューションは、新規アカウント作成時にリソースを自動デプロイし、カスタムCloudFormationテンプレートおよびSCPを適用するというすべての要件を満たします。他の選択肢は、自動デプロイの要件を完全に満たさなかったり、カスタムCloudFormationテンプレートおよびSCPの適用について言及していなかったりするため、最適ではありません。したがって、正解はDです。