Q52 — AWS DOP-C02 第3章

第 52/100 問 | ← 第3章

AnyCompany 社は AWS Organizations を使用して複数の AWS アカウントを作成および管理しています。最近、AnyCompany 社は競合他社である Example Corp 社を買収しました。買収プロセスにおいて、Example Corp 社の単一 AWS アカウントが組織招待を通じて AnyCompany 社の管理アカウントに参加しました。AnyCompany 社は、新規メンバー アカウントを Example Corp 専用の OU(Organizational Unit)に移動させました。 AnyCompany 社の DevOps エンジニアは、`OrganizationAccountAccessRole` という名前のロールを Assume する権限を持つ IAM ユーザーです。このロールにはフルアクセスポリシーがアタッチされています。DevOps エンジニアが AWS Management Console を使用して Example Corp の新規メンバー アカウント内のロールを Assume しようとしたところ、以下のエラーが表示されました。「1 つ以上のフィールドに無効な情報が含まれています。情報を確認するか、管理者に連絡してください。」 DevOps エンジニアが新規メンバー アカウントにアクセスできるようにするソリューションはどれですか?

正解: C. 新規メンバー アカウントで、`OrganizationAccountAccessRole` という名前の新しい IAM ロールを作成します。このロールに `AdministratorAccess` AWS マネージドポリシーをアタッチします。ロールの信頼ポリシーで、管理アカウントがこのロールを Assume できるように許可します。

解説

AWS Organizations におけるクロスアカウントロールアクセスには、ターゲットアカウント内に正しく設定された IAM ロールが存在する必要があります。既存のアカウントを招待により組織に参加させる場合、そのアカウントには自動的にデフォルトの `OrganizationAccountAccessRole` は作成されません。AWS ドキュメントによると、このロールは通常、組織を使用して新規アカウントを作成した場合にのみ自動生成されます。招待されたアカウントにこのロールが存在しない場合、同名のロールを手動で作成し、適切な権限をアタッチし、管理アカウントによる Assume を許可する信頼ポリシーを設定する必要があります。オプション C は、ターゲットアカウント内でロールを作成し、信頼ポリシーを設定することで、ロールの欠如または信頼関係の不正設定という問題を解決します。他のオプションは、ロールの不在や信頼関係の未承認という根本的な問題を直接解決していません。