Q38 — AWS DOP-C02 第3章
第 38/100 問 | ← 第3章
ある企業は、AWSアカウント内でセキュリティ監査アプリケーションをホストしています。この監査アプリケーションはIAMロールを使用して他のAWSアカウントにアクセスします。これらのターゲットアカウントはすべて、同一のAWS Organizations内にあります。 最近のセキュリティ監査では、監査対象のAWSアカウント内のユーザーが、監査アプリケーションのIAMロールを変更または削除できることが明らかになりました。企業は、信頼された管理者IAMロール以外のいかなるエンティティも、監査アプリケーションのIAMロールに対して変更を加えることを防止する必要があります。
- A. 監査アプリケーションのIAMロールの変更を拒否するステートメントを含むSCPを作成します。信頼された管理者IAMロールによる変更を許可する条件を含め、このSCPを組織のルートにアタッチします。 ✓
- B. 信頼された管理者IAMロールによる監査アプリケーションのIAMロールの変更を許可するAllowステートメントを含むSCPを作成します。その他のすべてのIAM主体による変更を拒否するステートメントを含め、このSCPを監査アプリケーションがIAMロールを持つ各AWSアカウントのIAMサービスにアタッチします。
- C. 監査アプリケーションのIAMロールの変更を拒否するステートメントを含むIAMパーミッションバウンダリーを作成します。信頼された管理者IAMロールによる変更を許可する条件を含め、このパーミッションバウンダリーを監査対象のAWSアカウントにアタッチします。
- D. 監査アプリケーションのIAMロールの変更を拒否するステートメントを含むIAMパーミッションバウンダリーを作成します。信頼された管理者IAMロールによる変更を許可する条件を含め、このパーミッションバウンダリーをAWSアカウント内の監査アプリケーションのIAMロールにアタッチします。
正解: A. 監査アプリケーションのIAMロールの変更を拒否するステートメントを含むSCPを作成します。信頼された管理者IAMロールによる変更を許可する条件を含め、このSCPを組織のルートにアタッチします。
解説
SCP(サービス制御ポリシー)は、組織レベルで権限を制限する最適な方法であり、このケースでは、監査アプリケーションが使用するIAMロールの変更を制限しつつ、信頼された管理者による変更を許可するために使用されます。選択肢CおよびDは効果が低く、IAMパーミッションバウンダリーはIAMエンティティ(ユーザー、グループ、ロール)に適用され、アカウント自体には適用されず、また監査対象のAWSアカウント内のすべてのIAMエンティティに適用する必要があります。