Q55 — AWS DOP-C02 第3章

第 55/100 問 | ← 第3章

企業は AWS Organizations の組織を使用しており、管理対象の AWS アカウントの機能を有効化しています。Amazon EC2 インスタンスが AWS アカウント内で実行されています。 企業は、現在実行中の EC2 インスタンスがインスタンスメタデータサービスバージョン 2(IMDSv2)を使用することを要求しています。また、IMDSv2 を使用しない EC2 インスタンスからの AWS API 呼び出しをブロックする必要があります。 これらの要件を満たすソリューションはどれですか?

正解: D. 新しい SCP ステートメントを作成し、`ec2:MetadataHttpTokens` 条件キーの値が所望の値と等しくない場合に操作を拒否します。この SCP を組織のルートにアタッチします。

解説

本問は、AWS Organizations のサービス制御ポリシー(SCP)を用いて EC2 インスタンスが IMDSv2 を強制的に使用するようにする方法についてのものです。AWS 公式ドキュメントによると、IMDSv2 は `ec2:MetadataHttpTokens` 条件キーで制御され、この値が `required` のときに v2 が有効になります。正しいポリシーは、この条件に一致しない API 呼び出しを拒否する必要があります。オプション A は `ec2:RunInstances` 操作のみを制限していますが、他のインスタンス構成を変更する API(例:`ModifyInstanceMetadataOptions`)をカバーしておらず、回避の余地があります。オプション D は操作範囲を明示していませんが、AWS のベストプラクティスでは、IMDSv2 のバイパスを防ぐために、インスタンスの作成および変更に関連するすべての API 呼び出しをブロックする必要があります。オプション B および C の条件キーは IMDSv2 とは無関係です。正解の D は `ec2:MetadataHttpTokens` 条件を用いて関連するすべての API 呼び出しをブロックし、グローバルな一貫性を確保する点で AWS の推奨に最も合致します。