Q31 — AWS DOP-C02 第2章
第 31/100 問 | ← 第2章
ある企業は複数のチームに分割されています。各チームには専用のAWSアカウントがあり、すべてのアカウントはAWS Organizations内の単一組織に属しています。各チームは自チームのAWSアカウントに対するセキュリティ管理権限を保持しています。また、ハッカー対策として、各チームが利用できるAWSサービスを企業が承認したサービスに限定したいと考えています。AWSサービスへのアクセスは、承認プロセスおよび承認された手順を通じて許可されます。
- A. AWS CloudFormation StackSetsを使用して、各アカウントにIAMポリシーを展開し、制限されたAWSサービスへのアクセスを拒否します。さらに、各アカウントでAWS Configルールを構成して、IAM委任者にポリシーが正しくアタッチされていることを検証します。
- B. AWS Control Towerを使用して、組織内のOU(Organizational Unit)にアカウントをプロビジョニングします。AWS Control Towerを構成してAWS IAM Identity Center(AWS SSO)を有効化し、管理アクセスを提供します。制限されたAWSサービスへのアクセスを拒否するポリシーを含むユーザーロールをIAM Identity Centerで設定します。
- C. すべてのアカウントを組織内の新しいトップレベルOU下に配置します。制限されたAWSサービスへのアクセスを拒否するService Control Policy(SCP)を作成し、そのSCPをOUにアタッチします。 ✓
- D. 承認済みAWSサービスのみへのアクセスを許可するSCPを作成し、そのSCPを組織のルートOUにアタッチします。組織のルートOUからFullAWSAccess SCPを削除します。
正解: C. すべてのアカウントを組織内の新しいトップレベルOU下に配置します。制限されたAWSサービスへのアクセスを拒否するService Control Policy(SCP)を作成し、そのSCPをOUにアタッチします。
解説
AWS Organizationsにおけるサービスアクセス制御のベストプラクティスは、Service Control Policy(SCP)を用いてOUまたはルートに適用することです。SCPは、アカウントレベルでのサービス使用を強制的に制限するため、各チームが承認済みサービスのみを利用できるようにする最も効果的かつ中央集権的な方法です。選択肢AはIAMポリシーによる制御ですが、これはアカウント内での細かい制御であり、組織全体のサービス制限には不十分です。選択肢BのIAM Identity Centerは認証・認可の統合には有効ですが、サービスレベルのアクセス制限にはSCPほど強力ではありません。選択肢DはルートOUへのSCP適用を提案していますが、FullAWSAccess SCPの削除はリスクが高く、推奨されません。一方、選択肢Cは、新しいトップレベルOUを作成し、そこに制限SCPを適用するという、明確で安全な設計です。