Q95 — AWS DOP-C02 第3章
第 95/100 問 | ← 第3章
ある企業は、グローバル事業を展開する組織であり、以下の要件を満たすガバナンス戦略を実装したいと考えています: ・グローバルなAWSサービスリソースへのアクセスは、各アカウントと同じリージョン内に限定されます。 ・グローバルなAWSサービスへのアクセスは、各アカウントで許可された特定のサービスに制限されます。 ・認証は、オンプレミスのActive Directory(AD)を介して提供されます。 ・アクセス権限は、ビジネス機能単位で管理され、各アカウントの権限は同一である必要があります。
- A. 管理アカウント内に、リージョンおよび許可されたサービスを制限するグループポリシーを持つ組織単位(OU)を設置します。各業務機能ごとにAWS IAMロールを設定し、各アカウント内のIAM IdP認証をサポートするIAM信頼ポリシーを含めます。
- B. 管理アカウント内で、リージョンおよび許可されたサービスを制限するパーミッション境界を設定します。各業務機能ごとにAWS IAMロールを設定し、各アカウント内のIAM IdP認証をサポートするIAM信頼ポリシーを含めます。
- C. 管理アカウント内で、リージョンおよび許可されたサービスを制限するサービスコントロールポリシー(SCP)を作成します。AWS Resource Access Manager(AWS RAM)を使用して管理アカウントのロールを共有し、各業務機能に権限を付与し、各アカウントで認証にAWS IAM Identity Center(旧AWS Single Sign-On)を使用します。
- D. 管理アカウント内で、リージョンおよび許可されたサービスを制限するサービスコントロールポリシー(SCP)を作成します。各業務機能ごとにAWS IAMロールを設定し、各アカウント内のIAM IdP認証をサポートするIAM信頼ポリシーを含めます。 ✓
正解: D. 管理アカウント内で、リージョンおよび許可されたサービスを制限するサービスコントロールポリシー(SCP)を作成します。各業務機能ごとにAWS IAMロールを設定し、各アカウント内のIAM IdP認証をサポートするIAM信頼ポリシーを含めます。
解説
AWS Organizationsのサービスコントロールポリシー(SCP)は、組織レベルでアカウントに対する権限を制限するためのツールであり、例えばリージョンおよびサービスへのアクセス制御を実現します。本問では、リージョンおよびサービスの制限が求められており、SCPはこの機能を実現する中心的なツールです。IAM IdPの信頼ポリシーは、外部のIDソース(例:Active Directory)との連携を可能にし、認証をADに委任します。AWS Organizationsにおける権限管理と業務機能単位の統一ポリシーにより、各アカウントの権限が一貫して保たれます。選択肢Dは、SCPによるリージョン/サービス制限、IAM信頼ポリシーによるAD連携、およびOrganizationsによる権限管理を正しく統合しており、問題文のすべての要件を満たします。他の選択肢は、SCPを使用していないか、リソース共有(RAM)やパーミッション境界(Permission Boundary)の実装が要件に適合していません。