Q29 — AWS SAA-C03 第2章

第 29/65 問 | ← 第2章

Q94. ある企業では、AWS Organizations を使用して、異なる部門向けに複数の AWS アカウントを管理しています。管理アカウントには、プロジェクト報告書が格納された Amazon S3 バケットがあります。この企業は、AWS Organizations 内のアカウントに属するユーザーのみが、この S3 バケットにアクセスできるように制限したいと考えています。これらの要件を満たす解決策のうち、運用上のオーバーヘッドが最も少ないものはどれですか?

正解: A. S3 バケットポリシーに、組織 ID を参照する aws:PrincipalOrgID グローバル条件キーを追加する。

解説

aws:PrincipalOrgID 条件キーを使用すると、指定された AWS Organizations の組織 ID に所属するすべてのアカウント(およびそのアカウント内の IAM エンティティ)からのアクセスを許可または拒否できます。これは、組織全体のアクセス制御をシンプルかつ自動的に実現するため、追加の監視、ポリシー更新、OU 管理、またはユーザー別タグ付けなどの手動作業を必要としません。したがって、運用上のオーバーヘッドが最小です。他の選択肢は、OU 構造の維持(B)、CloudTrail イベントの監視とポリシーの手動/自動更新(C)、ユーザーへのタグ付けと継続的なタグ管理(D)など、追加の管理負荷を伴います。