Q74 — AWS DOP-C02 第3章
第 74/100 問 | ← 第3章
ある会社は、AWS Organizations を使用して複数のアカウントを管理しており、その組織内のアカウントで機密性の高いワークロードを実行しています。この会社は、Amazon VPC の CIDR ブロックおよびオンプレミスのハードウェアに割り当てる IP アドレスを含む単一の IP アドレス範囲を使用しています。 この会社は、自社の IP アドレス範囲外からの委任されたユーザーが組織内のアカウントで AWS 操作を実行することを防止するソリューションを必要としています。 これらの要件を満たすソリューションはどれですか?
- A. AWS Firewall Manager を組織に対して設定します。AWS Network Firewall ポリシーを作成し、自社の IP アドレス範囲からの送信トラフィックのみを許可します。このポリシーを組織内のすべてのアカウントに適用します。
- B. 組織内で、自社の IP アドレス範囲外の送信元 IP アドレスを拒否する Service Control Policy (SCP) を作成します。この SCP を組織のルートにアタッチします。 ✓
- C. Amazon GuardDuty を組織に対して設定します。自社の IP 範囲に対して信頼された IP アドレスリストを作成します。組織全体で信頼された IP リストを有効化します。
- D. 組織内で、自社の IP アドレス範囲内の送信元 IP アドレスを許可する Service Control Policy (SCP) を作成します。この SCP を組織のルートにアタッチします。
正解: B. 組織内で、自社の IP アドレス範囲外の送信元 IP アドレスを拒否する Service Control Policy (SCP) を作成します。この SCP を組織のルートにアタッチします。
解説
AWS Service Control Policies (SCP) は、組織のルートまたは組織単位 (OU) レベルで権限の境界を集中管理するために使用されます。AWS Organizations のドキュメントによると、SCP は条件(例:送信元 IP アドレス)に基づいて、AWS アカウントに対する API 操作を許可または拒否できます。SCP を組織のルートにアタッチすると、すべてのメンバー アカウントに適用されます。本問では、自社 IP 範囲外からの操作を阻止することが求められており、明示的な拒否ルールを設定した SCP を使用することで、このようなアクセスを直接制限できます。選択肢 A はネットワーク トラフィックのフィルタリングであり、API 操作制御ではありません。選択肢 C の信頼された IP リストは Amazon GuardDuty の脅威検出機能であり、アクセス制御には使用できません。選択肢 D の許可ポリシーは、他の送信元をデフォルトで拒否する機能を備えておらず、最小権限原則に反します。一方、選択肢 B の拒否ポリシーは、非承認 IP からのリクエストを直接ブロックするため、要件を正確に満たします。