Q43 — AWS DOP-C02 第2章

第 43/100 問 | ← 第2章

あるクラウドチームが、AWS OrganizationsおよびAWS Identity Center(AWSのシングルサインオン)を使用して企業のAWSアカウントを管理しています。この企業は最近、研究チームを設立しました。研究チームには、アカウント内のリソースを分離して管理する権限が必要ですが、IAMユーザーの作成は許可されていません。

正解: C. iam:CreateUser操作を拒否するSCP(Service Control Policy)を作成し、研究チームのAWSアカウントにアタッチします。

解説

AWS Service Control Policy(SCP)はOrganizations機能の一部であり、メンバーAWSアカウントの権限範囲を制限します。SCPはアカウント全体に適用され、アカウント内のIAMポリシーよりも優先されます。本問では、研究チームにAdministratorAccessマネージドポリシーが付与されていますが、IAMユーザーの作成を禁止する必要があります。IAMポリシーまたは権限境界は、権限の重ね合わせにより有効に制限できない可能性がありますが、SCPはアカウントレベルで直接作用し、Identity Center経由で取得した権限を含むすべてのユーザーが拒否された操作を実行できないことを保証します。オプションCは、SCPでiam:CreateUserを拒否することで、管理者権限があってもユーザー作成を確実に防止します。他の選択肢はポリシー評価ロジックの制約や実装の複雑さにより不適切です。