Q25 — AWS SAP-C02 第1章
第 25/75 問 | ← 第1章
Q100. AWS Organizations を使用している企業では、開発者が AWS 上で実験を行えるようになっています。同社が展開しているランディングゾーンの一部として、開発者は会社のメールアドレスを用いてAWSアカウントの作成をリクエストします。企業は、開発者が高コストのサービスを起動したり、不要なサービスを実行したりすることを防ぎたいと考えています。また、開発者に対して固定の月次予算を設定し、AWS 利用コストを制限する必要があります。これらの要件を満たすためには、以下のどの組み合わせの手順を実施すべきでしょうか?(3つ選択)
- A. 固定の月次アカウント使用量制限を設定する Service Control Policy (SCP) を作成し、その SCP を開発者アカウントに適用します。
- B. AWS Budgets を使用して、各開発者アカウントに対して固定の月次予算を作成し、アカウント作成プロセスの一環として設定します。 ✓
- C. 高コストのサービスおよびコンポーネントへのアクセスを拒否する Service Control Policy (SCP) を作成し、その SCP を開発者アカウントに適用します。 ✓
- D. 高コストのサービスおよびコンポーネントへのアクセスを拒否する IAM ポリシーを作成し、その IAM ポリシーを開発者アカウントに適用します。
- E. 予算額に達した際にサービスを終了させる AWS Budgets のアラートアクションを作成します。このアクションはすべてのサービスを終了させます。
- F. 予算額に達した際に Amazon Simple Notification Service (Amazon SNS) による通知を送信する AWS Budgets のアラートアクションを作成します。その後、AWS Lambda 関数を呼び出してすべてのサービスを終了させます。 ✓
正解: B. AWS Budgets を使用して、各開発者アカウントに対して固定の月次予算を作成し、アカウント作成プロセスの一環として設定します。, C. 高コストのサービスおよびコンポーネントへのアクセスを拒否する Service Control Policy (SCP) を作成し、その SCP を開発者アカウントに適用します。, F. 予算額に達した際に Amazon Simple Notification Service (Amazon SNS) による通知を送信する AWS Budgets のアラートアクションを作成します。その後、AWS Lambda 関数を呼び出してすべてのサービスを終了させます。
解説
AWS Organizations 環境において開発者のコストを制御し、固定の月次予算を提供するという要件を満たすには、以下の3つの手順の組み合わせが適切です: B. AWS Budgets を使用して各開発者アカウントに固定の月次予算を作成する(アカウント作成プロセスの一環として設定)。 C. 高コストのサービスおよびコンポーネントへのアクセスを拒否する Service Control Policy (SCP) を作成し、開発者アカウントに適用する。 F. 予算額に達した際に Amazon SNS 通知を送信する AWS Budgets のアラートアクションを作成し、AWS Lambda 関数を呼び出してすべてのサービスを終了させる。 解説: B:AWS Budgets は、AWS アカウントの予算を作成・管理するためのサービスです。各開発者アカウントに固定の月次予算を設定することで、明確な支出上限を定め、コスト制限を実現できます。 C:SCP は、Organizations 内のアカウント全体にわたって許可/拒否ルールを強制できるポリシーです。高コストのサービス(例:Amazon EC2 On-Demand インスタンス、Amazon RDS の大規模インスタンスタイプなど)へのアクセスを SCP で明示的に拒否することで、不必要な利用を事前に防止できます。 F:AWS Budgets のアラートアクションと連携して Amazon SNS 通知を送信し、Lambda 関数をトリガーして不要なリソースを自動停止(例:EC2 インスタンスの停止、RDS クラスターの停止など)することで、予算超過時の迅速なコスト制御が可能です。ただし、オプション E のように「すべてのサービスを強制終了」する単純なアクションは非現実的であり、意図しないダウンタイムやデータ損失のリスクがあるため不適切です。 A は誤りです:SCP は使用量(例:API 呼び出し回数、リソース数)の制限には使用できません。予算(金額)制限機能は備えておらず、AWS Budgets がその役割を担います。 D は誤りです:IAM ポリシーは個々のユーザーまたはロールに対するアクセス制御に使用されますが、組織全体のアカウントレベルでの制御や、予算設定はできません。また、開発者アカウント内の全ユーザーに一括適用するには SCP の方が適しています。 E は誤りです:AWS Budgets のアラートアクションは、予算超過時に Lambda や SNS などの外部サービスを呼び出すことはできますが、「すべてのサービスを自動終了」するネイティブな機能はありません。また、このオプションは予算設定そのものではなく、あくまで超過後の対応のみを記述しており、要件である「固定月次予算の付与」を満たしていません。 よって、正解は B、C、F です。