Q95 — AWS DOP-C02 第3章

第 95/100 問 | ← 第3章

ある企業は、グローバル事業を展開する組織であり、以下の要件を満たすガバナンス戦略を実装したいと考えています: ・グローバルなAWSサービスリソースへのアクセスは、各アカウントと同じリージョン内に限定されます。 ・グローバルなAWSサービスへのアクセスは、各アカウントで許可された特定のサービスに制限されます。 ・認証は、オンプレミスのActive Directory(AD)を介して提供されます。 ・アクセス権限は、ビジネス機能単位で管理され、各アカウントの権限は同一である必要があります。

正解: D. 管理アカウント内で、リージョンおよび許可されたサービスを制限するサービスコントロールポリシー(SCP)を作成します。各業務機能ごとにAWS IAMロールを設定し、各アカウント内のIAM IdP認証をサポートするIAM信頼ポリシーを含めます。

解説

AWS Organizationsのサービスコントロールポリシー(SCP)は、組織レベルでアカウントに対する権限を制限するためのツールであり、例えばリージョンおよびサービスへのアクセス制御を実現します。本問では、リージョンおよびサービスの制限が求められており、SCPはこの機能を実現する中心的なツールです。IAM IdPの信頼ポリシーは、外部のIDソース(例:Active Directory)との連携を可能にし、認証をADに委任します。AWS Organizationsにおける権限管理と業務機能単位の統一ポリシーにより、各アカウントの権限が一貫して保たれます。選択肢Dは、SCPによるリージョン/サービス制限、IAM信頼ポリシーによるAD連携、およびOrganizationsによる権限管理を正しく統合しており、問題文のすべての要件を満たします。他の選択肢は、SCPを使用していないか、リソース共有(RAM)やパーミッション境界(Permission Boundary)の実装が要件に適合していません。