Q4 — AWS SAA-C03 第1章

第 4/65 問 | ← 第1章

Q4. セキュリティチームは、チームが所有するすべてのAWSアカウントにおいて、特定のAWSサービスまたはアクションへのアクセスを制限したいと考えています。これらのすべてのアカウントは、AWS Organizations 内の大規模な組織に属しています。このソリューションはスケーラブルである必要があり、また、権限管理を一元的に行える単一の管理ポイントが必須です。ソリューションアーキテクトは、この要件を満たすために何を行うべきでしょうか?

正解: D. AWS Organizations のルート組織単位(OU)にサービスコントロールポリシー(SCP)を作成し、対象のサービスまたはアクションへのアクセスを拒否する。

解説

AWS Organizations に所属する大規模な組織内のすべてのAWSアカウントに対して、特定のAWSサービスやAPIアクションへのアクセスを一括で制限し、スケーラブルかつ権限管理を単一の場所で行えるようにするには、以下の選択肢を検討します。 A. ACL(Access Control List)は、VPC内のサブネットにおけるインスタンス間のトラフィックを制御するために使用されるものであり、複数アカウントにわたるAWSサービスやアクションへのアクセス制御には不適切です。 B. セキュリティグループもVPC内でインスタンスレベルの受信・送信トラフィックを制御するためのものであり、AWSサービスやアクションへのアクセス制御には適用されず、ユーザーグループへのアタッチや複数アカウント横断での利用もできません。 C. クロスアカウントロールは、異なるアカウント間のリソースアクセスを許可・拒否するために使用可能ですが、各アカウントごとに個別に設定・管理する必要があるため、単一の管理ポイントとスケーラビリティという要件を満たしません。 D. 最も適切な方法は、AWS Organizations のルート組織単位(OU)にサービスコントロールポリシー(SCP)を作成することです。SCPは、組織内のすべてのアカウントに対して、IAMユーザーおよびロールが実行できるアクションを中央集約的に許可または拒否できます。ルートOUにSCPを配置すれば、組織内のすべてのアカウントに自動的に適用され、権限の整合性が保たれるとともに、管理は1か所(ルートOU)で完結します。 結論:正しい選択肢は D です。