Q57 — AWS DOP-C02 第2章
第 57/100 問 | ← 第2章
ある企業は、複数の国で事業を展開する福利厚生協会の組織であり、多数のアカウントを所有しています。この組織には専任のAWSアカウント管理者がいます。 同社は、OU(Organizational Unit)内のアカウントにおいて、AWSクラウド内で作成または更新されるAmazon EBSボリュームおよびAmazon SQSキューに対してサーバーサイド暗号化(SSE)を強制する必要があります。
- A. AWS CloudFormationの信頼アクセスを有効化します。EBSボリュームおよびSQSキューに対してサーバーサイド暗号化を強制するCloudFormationフックを作成します。StackSetsを使用して、このフックをOU内のすべてのアカウントにデプロイします。 ✓
- B. すべてのアカウントにワークステーションを設定します。AWS Systems Managerを使用して、EBSボリュームおよびOU内のアカウントのSQSキューに対してサーバーサイド暗号化を強制するAWS Configルールをデプロイします。
- C. EBSボリュームおよびSQSキューがサーバーサイド暗号化を指定しない限り、それらの作成を拒否するService Control Policy(SCP)を作成し、これをOUにアタッチします。
- D. 承認済みの管理者アカウントでAWS Lambda関数を作成し、EBSボリュームおよびSQSキューがサーバーサイド暗号化を強制しているかをチェックします。OU内のアカウントへのLambda機能アクセスを提供するIAMロールを作成します。
正解: A. AWS CloudFormationの信頼アクセスを有効化します。EBSボリュームおよびSQSキューに対してサーバーサイド暗号化を強制するCloudFormationフックを作成します。StackSetsを使用して、このフックをOU内のすべてのアカウントにデプロイします。
解説
本問は、AWS Organizations内でのクロスアカウントリソースポリシー適用に関するシナリオであり、AWS CloudFormationの機構を用いたデプロイ段階での暗号化ポリシー強制が求められています。AWS公式ドキュメントによると、CloudFormation Hooksはテンプレートデプロイ前にポリシー検査をトリガーし、リソースがセキュリティ要件を満たすことを保証します。信頼アクセスを有効化したAWS CloudFormation StackSetsを用いることで、フック設定を対象となるOU内の全アカウントに一括デプロイできます。選択肢Bは、事後監視に依存するConfigルールであり、即時防止には不十分です。選択肢CのSCPは、リソースタイプごとの細かい制御が難しく、過度に広範な拒否を引き起こす可能性があります。選択肢Dのカスタムソリューションはネイティブ統合がなく、信頼性に欠けます。選択肢Aのフック機構は、リソース作成段階で違反操作を即座に阻止するため、「クラウドフォーメーションスタック操作の前」という前提条件を完全に満たします。