Q43 — AWS DOP-C02 第2章
第 43/100 問 | ← 第2章
あるクラウドチームが、AWS OrganizationsおよびAWS Identity Center(AWSのシングルサインオン)を使用して企業のAWSアカウントを管理しています。この企業は最近、研究チームを設立しました。研究チームには、アカウント内のリソースを分離して管理する権限が必要ですが、IAMユーザーの作成は許可されていません。
- A. iam:CreateUser操作を拒否するIAMポリシーを作成し、それを研究管理者のパーミッションセットにアタッチします。
- B. iam:CreateUser操作を除くすべての操作を許可するIAMポリシーを作成し、そのIAMポリシーを研究管理者のパーミッションセットの権限境界として設定します。
- C. iam:CreateUser操作を拒否するSCP(Service Control Policy)を作成し、研究チームのAWSアカウントにアタッチします。 ✓
- D. IAMユーザーを削除するAWS Lambda関数を開発します。IAMユーザー作成イベントを検出するAmazon EventBridgeルールを作成し、そのルールをLambda関数の呼び出しに構成します。
正解: C. iam:CreateUser操作を拒否するSCP(Service Control Policy)を作成し、研究チームのAWSアカウントにアタッチします。
解説
AWS Service Control Policy(SCP)はOrganizations機能の一部であり、メンバーAWSアカウントの権限範囲を制限します。SCPはアカウント全体に適用され、アカウント内のIAMポリシーよりも優先されます。本問では、研究チームにAdministratorAccessマネージドポリシーが付与されていますが、IAMユーザーの作成を禁止する必要があります。IAMポリシーまたは権限境界は、権限の重ね合わせにより有効に制限できない可能性がありますが、SCPはアカウントレベルで直接作用し、Identity Center経由で取得した権限を含むすべてのユーザーが拒否された操作を実行できないことを保証します。オプションCは、SCPでiam:CreateUserを拒否することで、管理者権限があってもユーザー作成を確実に防止します。他の選択肢はポリシー評価ロジックの制約や実装の複雑さにより不適切です。