Q7 — AWS SAA-C03 第5章
第 7/65 問 | ← 第5章
Q307. ある会社は、すべての機能が有効化された AWS Organizations を使用しており、ap-southeast-2 リージョンで複数の Amazon EC2 ワークロードを実行しています。同社は、他の任意のリージョンでリソースが作成されないようにするサービスコントロールポリシー(SCP)を適用しています。また、セキュリティポリシーでは、すべてのデータを静止時(at rest)に暗号化することが義務付けられています。監査の結果、従業員が Amazon Elastic Block Store(Amazon EBS)ボリュームを暗号化せずに EC2 インスタンス用に作成していることが判明しました。同社は、ap-southeast-2 リージョンで IAM ユーザーまたはルートユーザーが起動するすべての新規 EC2 インスタンスに対して、暗号化済みの EBS ボリュームを使用することを求めており、EBS ボリュームを作成する従業員への影響を最小限に抑えたいと考えています。これらの要件を満たすための手順の組み合わせはどれですか?(2つ選択)
- A. Amazon EC2 コンソールで EBS 暗号化アカウント属性を選択し、デフォルトの暗号化キーを定義する
- B. IAM パーミッションバウンダリーを作成し、それをルート組織単位(OU)にアタッチします。このバウンダリーでは、ec2:Encrypted 条件が false の場合に ec2:CreateVolume アクションを拒否するように定義します
- C. SCP を作成し、それをルート組織単位(OU)にアタッチします。この SCP では、ec2:Encrypted 条件が false の場合に ec2:CreateVolume アクションを拒否するように定義します ✓
- D. 各アカウントの IAM ポリシーを更新し、ec2:Encrypted 条件が false の場合に ec2:CreateVolume アクションを拒否するように設定します
- E. Organizations 管理アカウントで、デフォルトの EBS ボリューム暗号化設定を指定する ✓
正解: C. SCP を作成し、それをルート組織単位(OU)にアタッチします。この SCP では、ec2:Encrypted 条件が false の場合に ec2:CreateVolume アクションを拒否するように定義します, E. Organizations 管理アカウントで、デフォルトの EBS ボリューム暗号化設定を指定する
解説
選択肢 C:SCP を作成し、ルート組織単位(OU)にアタッチして、ec2:Encrypted 条件が false の場合に ec2:CreateVolume アクションを拒否するように定義すると、ap-southeast-2 で起動される新規 EC2 インスタンスに対する EBS ボリュームの暗号化を強制的に適用できます。これは既存の EBS ボリューム作成作業には影響せず、新規インスタンスのみに適用されるため、従業員への影響は最小限です。選択肢 E:Organizations 管理アカウントでデフォルトの EBS ボリューム暗号化設定を指定すると、ap-southeast-2 で起動されるすべての新規 EC2 インスタンスがデフォルトで暗号化済みの EBS ボリュームを使用するようになります。これにより、EBS ボリュームを作成する従業員への影響を最小限に抑えつつ、要件を満たせます。選択肢 A:Amazon EC2 コンソールで EBS 暗号化アカウント属性を選択し、デフォルトの暗号化キーを定義しても、ap-southeast-2 で起動される新規 EC2 インスタンスに対する EBS ボリュームの暗号化を強制できません。この設定は、AWS アカウント内で作成されるすべての EBS ボリュームに対してデフォルトの暗号化キーを定義するものであり、既存のワークフローやスクリプトに影響を与える可能性があります。選択肢 B および D は、ec2:Encrypted 条件が false の場合に ec2:CreateVolume アクションを拒否する IAM パーミッションバウンダリーまたは各アカウントの IAM ポリシーを更新するものです。これらは EBS ボリュームの暗号化を強制できますが、従業員が既存のワークフローやスクリプトを変更する必要が生じるため、影響が大きくなります。