Q92 — AWS DOP-C02 第2章

第 92/100 問 | ← 第2章

DevOpsエンジニアは、現在存在する一連のAWSアカウントにコアセキュリティコントロールを適用する必要があります。これらのアカウントはAWS Organizationsの組織内にあります。各チームは、個別のアカウントを管理するためにAdministratorAccess AWSマネージドポリシーを使用します。すべてのアカウントで、利用可能なAWSリージョンにおいてAWS CloudTrailおよびAWS Configを有効化する必要があります。個別アカウントの管理者は、基盤となるリソースの編集または削除を禁止されますが、自身のCloudTrailトレースおよびAWS Configルールについては編集または削除が可能です。

正解: C. AWS Configの管理アカウントを指定します。AWS CloudFormationスタックセットを使用して、すべてのアカウントにAWS Configレコーダーを作成します。AWS Config管理アカウントを使用して、組織全体にAWS Configルールを展開します。組織の管理アカウントでCloudTrailの組織トレースを作成します。SCP(サービスコントロールポリシー)を使用して、AWS Configレコーダーの変更または削除を禁止します。

解説

この問題は、AWSのマルチアカウント環境におけるセキュリティコントロールの集中管理手法を問うものです。AWS公式ドキュメントによると、AWS Organizationsによる管理アカウントの統合と、CloudFormationスタックセットによるクロスアカウントリソース展開は、一貫性を保証する方法として推奨されています。また、サービスコントロールポリシー(SCP)を用いてメンバーアカウントの操作権限を制限します。選択肢Cは、組織内の管理アカウントを活用してAWS Configレコーダーおよびルールを一元的に展開し、組織レベルのCloudTrailトレースを作成し、SCPを適用して重要なリソースの変更・削除を禁止しつつ、アカウント管理者が自身のCloudTrailおよびConfigルールを管理できるようにしています。他の選択肢は、サービスの強制有効化、基盤リソースの削除禁止、および自身のリソース管理の許可という3つの条件を同時に満たしていません。