Q15 — AWS DOP-C02 第2章

第 15/100 問 | ← 第2章

ある企業は、新しいアプリケーションをAWS上でホストすることを決定しました。この企業は、マルチアカウント戦略を実装する必要があります。DevOpsエンジニアは、AWS Organizations内に新しいAWSアカウントと組織を作成しました。 DevOpsエンジニアは、組織に対してOU構造を作成し、AWS Control Towerを活用してガバナンスを設定しました。 DevOpsエンジニアは、AWS Control Towerのアカウントファクトリによって新規に作成されたアカウントに対して自動的にリソースをデプロイするソリューションを実装したいと考えています。新しいアカウントが作成される際、このソリューションは、対象のOUまたはアカウントに紐づけられたAWS CloudFormationテンプレートおよびSCP(Service Control Policies)を自動的に適用し、アカウントに追加のリソースをデプロイする必要があります。また、すべてのOUは、自動的にControl Towerの登録プロセスに参加する必要があります。 これらの要件を最も自動化された方法で満たすソリューションはどれですか?

正解: D. AWS Control Tower(CfCT:Customizations for AWS Control Tower)ソリューションのカスタマイズをデプロイします。AWS CodeCommitリポジトリをソースとして使用します。リポジトリ内に、CloudFormationテンプレートおよびSCP JSONドキュメントを含むカスタムパッケージを作成します。

解説

Customizations for AWS Control Tower(CfCT)ソリューションは、Infrastructure as Code(IaC)によるリソース管理を可能にします。このソリューションは、バージョン管理のためのAWS CodeCommitリポジトリを活用し、CloudFormationテンプレートおよびSCPのポリシードキュメントを格納します。Control Towerのアカウントファクトリを通じて新しいAWSアカウントが作成されると、CfCTはそのアカウントの追加を自動検出し、事前に定義されたOU構造に基づいて対応するリソース構成およびSCPを自動的にデプロイします。選択肢Dは、AWS Control Towerのネイティブな統合メカニズムを直接活用しており、外部ツール(CLIなど)や手動操作を必要としないため、すべての新規アカウント作成時にカスタマイズされたリソースを自動継承できます。AWS公式ドキュメントによると、CfCTはControl Tower機能を拡張する標準的な手法であり、クロスアカウントおよびOU単位でのリソース一括デプロイに適しています。他の選択肢は、外部ツールへの依存(CLI)や手動トリガー(EventBridge)を必要とするため、自動化レベルが不十分です。