Q57 — AWS DOP-C02 第2章

第 57/100 問 | ← 第2章

ある企業は、複数の国で事業を展開する福利厚生協会の組織であり、多数のアカウントを所有しています。この組織には専任のAWSアカウント管理者がいます。 同社は、OU(Organizational Unit)内のアカウントにおいて、AWSクラウド内で作成または更新されるAmazon EBSボリュームおよびAmazon SQSキューに対してサーバーサイド暗号化(SSE)を強制する必要があります。

正解: A. AWS CloudFormationの信頼アクセスを有効化します。EBSボリュームおよびSQSキューに対してサーバーサイド暗号化を強制するCloudFormationフックを作成します。StackSetsを使用して、このフックをOU内のすべてのアカウントにデプロイします。

解説

本問は、AWS Organizations内でのクロスアカウントリソースポリシー適用に関するシナリオであり、AWS CloudFormationの機構を用いたデプロイ段階での暗号化ポリシー強制が求められています。AWS公式ドキュメントによると、CloudFormation Hooksはテンプレートデプロイ前にポリシー検査をトリガーし、リソースがセキュリティ要件を満たすことを保証します。信頼アクセスを有効化したAWS CloudFormation StackSetsを用いることで、フック設定を対象となるOU内の全アカウントに一括デプロイできます。選択肢Bは、事後監視に依存するConfigルールであり、即時防止には不十分です。選択肢CのSCPは、リソースタイプごとの細かい制御が難しく、過度に広範な拒否を引き起こす可能性があります。選択肢Dのカスタムソリューションはネイティブ統合がなく、信頼性に欠けます。選択肢Aのフック機構は、リソース作成段階で違反操作を即座に阻止するため、「クラウドフォーメーションスタック操作の前」という前提条件を完全に満たします。