Q49 — AWS DOP-C02 第2章
第 49/100 問 | ← 第2章
ある企業の組織は、業界のセキュリティ準拠要件に従い、単一のOU(Organizational Unit)に配置されています。この企業はOU内のアカウントでAmazon EC2インスタンスを実行しています。企業は、各EC2インスタンスの認証情報の使用を、その認証情報が割り当てられた特定のEC2インスタンスに限定したいと考えています。設計者はEC2インスタンスのセキュリティを構成する必要があります。 どのソリューションがこれらの要件を満たしますか?
- A. 指定されたVPC CIDRブロックを指定するSCP(Service Control Policy)を作成します。SCPを構成して、Aws:Vpc31-slp条件キーが指定されたブロック内にあるかを確認します。同じSCPチェック内で、Aws:EC2--------------- -----------------------------------------------------------------が両方とも偽の場合、アクセスを拒否します。このSCPをOUに適用します。
- B. Aws:EC2即決-cevpcおよびaws:SourceVpc条件キーの値が一致するかを確認するSCPを作成します。値が一致しない場合はアクセスを拒否します。同じSCPチェック内で、Aws:EC2快捷来源の値とaws:Vpc31-ceip条件キーの値が一致するかを確認します。値が一致しない場合はアクセスを拒否します。このSCPをOUに適用します。 ✓
- C. 許容されるVPC値のリストを含むSCPを作成し、aws:SourceVpc条件キーの値がそのリストに含まれているかを確認します。同じSCPチェック内で、許容されるIPアドレス値のリストを定義し、aws:Vpc31-ceip条件キーの値がそのリストに含まれているかを確認します。両方の条件が偽の場合、アクセスを拒否します。このSCPを組織内の各アカウントに適用します。
- D. Aws:EC2即時程序およびaws:Vpc31-ceip条件キーが一致するかを確認するSCPを作成します。値が一致しない場合はアクセスを拒否します。同じSCPチェック内で、Aws:EC2の値が一致するかを確認します。値が一致しない場合はアクセスを拒否します。このSCPを組織内の各アカウントに適用します。
正解: B. Aws:EC2即決-cevpcおよびaws:SourceVpc条件キーの値が一致するかを確認するSCPを作成します。値が一致しない場合はアクセスを拒否します。同じSCPチェック内で、Aws:EC2快捷来源の値とaws:Vpc31-ceip条件キーの値が一致するかを確認します。値が一致しない場合はアクセスを拒否します。このSCPをOUに適用します。
解説
AWSサービスコントロールポリシー(SCP)は、組織レベルで権限の境界を管理するために使用されます。AWSドキュメントによると、aws:SourceVpcおよびaws:VpcSourceIpなどのSCPの条件キーは、リソースアクセスのVPCコンテキストを制限するために使用できます。選択肢Bは、aws:EC2即決-cevpcとaws:SourceVpcの比較、およびaws:EC2快捷来源とaws:Vpc31-ceipの比較を通じて、要求元VPCと対象リソースの一致を保証します。この機構は、認証情報を特定のEC2インスタンスでのみ使用可能にするという要件を満たしており、他の選択肢はインスタンスとVPCのバインド関係を正確に表現しておらず、または関係のない条件キーを参照しています。