Q88 — AWS DOP-C02 第1章
第 88/100 問 | ← 第1章
ある企業がAWSアカウント内でセキュリティ監査アプリケーションをホストしています。監査アプリケーションはIAMロールを使用して他のAWSアカウントにアクセスします。対象となるアカウントはすべて、同じAWS Organizations組織内にあります。 最近のセキュリティ監査では、監査対象のAWSアカウント内のユーザーが監査アプリケーションのIAMロールを変更または削除できることを確認しました。同社は、信頼された管理者IAMロール以外のいかなるエンティティも、監査アプリケーションのIAMロールに対する変更を一切行えないようにする必要があります。
- A. 監査アプリケーションのIAMロールの変更を拒否するDenyステートメントを含むSCPを作成します。信頼された管理者IAMロールによる変更を許可する条件を含めます。このSCPを組織のルートにアタッチします。 ✓
- B. 監査アプリケーションのIAMロールの変更を許可するAllowステートメントを含むSCPを作成します。信頼された管理者IAMロールを除くすべてのIAM主体による変更を拒否するDenyステートメントを含めます。このSCPを、監査アプリケーションのIAMロールが存在する各AWSアカウントのIAMサービスにアタッチします。
- C. 監査アプリケーションのIAMロールの変更を拒否するDenyステートメントを含むIAM権限境界を作成します。信頼された管理者IAMロールによる変更を許可する条件を含めます。この権限境界を監査対象のAWSアカウントにアタッチします。
- D. 監査アプリケーションのIAMロールの変更を拒否するDenyステートメントを含むIAM権限境界を作成します。信頼された管理者IAMロールによる変更を許可する条件を含めます。この権限境界をAWSアカウント内の監査アプリケーションのIAMロールにアタッチします。
正解: A. 監査アプリケーションのIAMロールの変更を拒否するDenyステートメントを含むSCPを作成します。信頼された管理者IAMロールによる変更を許可する条件を含めます。このSCPを組織のルートにアタッチします。
解説
AWSサービス制御ポリシー(SCP)は、AWS Organizationsの機能であり、組織、組織単位(OU)、またはアカウントレベルで権限の境界を設定し、メンバーのアカウントの権限を制限するために使用されます。SCP内のDenyステートメントは、条件によって明示的に除外されない限り、すべての主体に対してデフォルトで適用されます。AWSドキュメントによると、SCPをルートにアタッチすると、組織内のすべてのアカウントに影響を与えます。選択肢Aは、Denyステートメントを含むSCPを作成し、条件付きで信頼された管理者のみを許可することで、組織全体のロール変更を制限します。選択肢BはSCPをIAMサービスにアタッチしようとしていますが、これは技術的に不可能であり、またSCPではAllowステートメントは不要です。選択肢CおよびDは権限境界を使用していますが、権限境界はアタッチされたエンティティの最大権限を制限するものであり、他のユーザーまたはロールによる対象ロールの変更を阻止することはできません。SCPは組織レベルでグローバルに適用されるため、他のアカウントのユーザーによる操作を効果的に阻止できます。