Q74 — AWS DOP-C02 第3章

第 74/100 問 | ← 第3章

ある会社は、AWS Organizations を使用して複数のアカウントを管理しており、その組織内のアカウントで機密性の高いワークロードを実行しています。この会社は、Amazon VPC の CIDR ブロックおよびオンプレミスのハードウェアに割り当てる IP アドレスを含む単一の IP アドレス範囲を使用しています。 この会社は、自社の IP アドレス範囲外からの委任されたユーザーが組織内のアカウントで AWS 操作を実行することを防止するソリューションを必要としています。 これらの要件を満たすソリューションはどれですか?

正解: B. 組織内で、自社の IP アドレス範囲外の送信元 IP アドレスを拒否する Service Control Policy (SCP) を作成します。この SCP を組織のルートにアタッチします。

解説

AWS Service Control Policies (SCP) は、組織のルートまたは組織単位 (OU) レベルで権限の境界を集中管理するために使用されます。AWS Organizations のドキュメントによると、SCP は条件(例:送信元 IP アドレス)に基づいて、AWS アカウントに対する API 操作を許可または拒否できます。SCP を組織のルートにアタッチすると、すべてのメンバー アカウントに適用されます。本問では、自社 IP 範囲外からの操作を阻止することが求められており、明示的な拒否ルールを設定した SCP を使用することで、このようなアクセスを直接制限できます。選択肢 A はネットワーク トラフィックのフィルタリングであり、API 操作制御ではありません。選択肢 C の信頼された IP リストは Amazon GuardDuty の脅威検出機能であり、アクセス制御には使用できません。選択肢 D の許可ポリシーは、他の送信元をデフォルトで拒否する機能を備えておらず、最小権限原則に反します。一方、選択肢 B の拒否ポリシーは、非承認 IP からのリクエストを直接ブロックするため、要件を正確に満たします。