Q35 — AWS DOP-C02 第3章
第 35/100 問 | ← 第3章
ある企業は、AWS Organizationsを使用して複数のAWSアカウントを管理しています。組織ルートには「Environments」という名前のOU(Organizational Unit)があります。このEnvironments OUには、それぞれ「開発」と「本番」の名前を持つ2つの子OUがあります。 Environments OUおよびその子OUには、デフォルトでFullAWSAccessポリシーが適用されています。あるDevOpsエンジニアは、開発OUからFullAWSAccessポリシーを削除し、代わりにAmazon EC2リソースに対するすべての操作を許可するポリシーを適用することを計画しています。 このポリシー置換の結果として生じるのは何ですか?
- A. 開発OU内のすべてのユーザーは、すべてのリソースに対してすべてのAPI操作を実行できます。
- B. 開発OU内のすべてのユーザーは、EC2リソースに対してすべてのAPI操作を実行できます。その他のすべてのAPI操作は拒否されます。 ✓
- C. 開発OU内のすべてのユーザーは、すべてのリソースに対してすべてのAPI操作を拒否されます。
- D. 開発OU内のすべてのユーザーは、EC2リソースに対してすべてのAPI操作を拒否されます。その他のすべてのAPI操作は許可されます。
正解: B. 開発OU内のすべてのユーザーは、EC2リソースに対してすべてのAPI操作を実行できます。その他のすべてのAPI操作は拒否されます。
解説
AWS Organizationsのサービス制御ポリシー(SCP)は、アカウントまたは組織単位(OU)内で許可される最大権限範囲を定義します。開発OUのデフォルトのFullAWSAccessポリシーを、EC2操作のみを許可する新しいポリシーに置き換えると、SCPの重ね合わせメカニズムが有効になります。SCPは「拒否優先」であるため、Full Accessを削除すると、開発OUの権限は明示的に許可されたEC2操作に限定され、それ以外のAPI操作は暗黙的に拒否されます。選択肢Bは、EC2関連操作のみを許可する結果を正確に記述しており、AWS Organizationsのドキュメントで定義されるSCPの継承および優先順位ルールに合致します。