Q38 — AWS DOP-C02 第3章

第 38/100 問 | ← 第3章

ある企業は、AWSアカウント内でセキュリティ監査アプリケーションをホストしています。この監査アプリケーションはIAMロールを使用して他のAWSアカウントにアクセスします。これらのターゲットアカウントはすべて、同一のAWS Organizations内にあります。 最近のセキュリティ監査では、監査対象のAWSアカウント内のユーザーが、監査アプリケーションのIAMロールを変更または削除できることが明らかになりました。企業は、信頼された管理者IAMロール以外のいかなるエンティティも、監査アプリケーションのIAMロールに対して変更を加えることを防止する必要があります。

正解: A. 監査アプリケーションのIAMロールの変更を拒否するステートメントを含むSCPを作成します。信頼された管理者IAMロールによる変更を許可する条件を含め、このSCPを組織のルートにアタッチします。

解説

SCP(サービス制御ポリシー)は、組織レベルで権限を制限する最適な方法であり、このケースでは、監査アプリケーションが使用するIAMロールの変更を制限しつつ、信頼された管理者による変更を許可するために使用されます。選択肢CおよびDは効果が低く、IAMパーミッションバウンダリーはIAMエンティティ(ユーザー、グループ、ロール)に適用され、アカウント自体には適用されず、また監査対象のAWSアカウント内のすべてのIAMエンティティに適用する必要があります。