Q49 — AWS DOP-C02 第2章

第 49/100 問 | ← 第2章

ある企業の組織は、業界のセキュリティ準拠要件に従い、単一のOU(Organizational Unit)に配置されています。この企業はOU内のアカウントでAmazon EC2インスタンスを実行しています。企業は、各EC2インスタンスの認証情報の使用を、その認証情報が割り当てられた特定のEC2インスタンスに限定したいと考えています。設計者はEC2インスタンスのセキュリティを構成する必要があります。 どのソリューションがこれらの要件を満たしますか?

正解: B. Aws:EC2即決-cevpcおよびaws:SourceVpc条件キーの値が一致するかを確認するSCPを作成します。値が一致しない場合はアクセスを拒否します。同じSCPチェック内で、Aws:EC2快捷来源の値とaws:Vpc31-ceip条件キーの値が一致するかを確認します。値が一致しない場合はアクセスを拒否します。このSCPをOUに適用します。

解説

AWSサービスコントロールポリシー(SCP)は、組織レベルで権限の境界を管理するために使用されます。AWSドキュメントによると、aws:SourceVpcおよびaws:VpcSourceIpなどのSCPの条件キーは、リソースアクセスのVPCコンテキストを制限するために使用できます。選択肢Bは、aws:EC2即決-cevpcとaws:SourceVpcの比較、およびaws:EC2快捷来源とaws:Vpc31-ceipの比較を通じて、要求元VPCと対象リソースの一致を保証します。この機構は、認証情報を特定のEC2インスタンスでのみ使用可能にするという要件を満たしており、他の選択肢はインスタンスとVPCのバインド関係を正確に表現しておらず、または関係のない条件キーを参照しています。