Q6 — AWS SAP-C02 第1章

第 6/75 問 | ← 第1章

Q81. ある企業には数百のAWSアカウントがあります。この企業は最近、新しいReserved Instances(予約インスタンス)の購入および既存のReserved Instancesの変更に関する、中央集権的な内部プロセスを導入しました。このプロセスでは、Reserved Instancesの購入または変更を希望するすべての事業部門が、調達専門チームにリクエストを提出する必要があります。 以前は、各事業部門が自社のAWSアカウントで直接かつ自律的にReserved Instancesを購入・変更していました。ソリューションアーキテクトは、この新しいプロセスを可能な限り安全な方法で強制する必要があります。これらの要件を満たすために、ソリューションアーキテクトが実行すべき手順の組み合わせはどれですか?(2つ選択してください。)

正解: A. すべてのAWSアカウントが、すべての機能が有効化されたAWS OrganizationsのOrganizationに属していることを確認します。, D. ec2:PurchaseReservedInstancesOfferingアクションおよびec2:ModifyReservedInstancesアクションを拒否するService Control Policy(SCP)を作成し、Organization内の各Organizational Unit(OU)にそのSCPをアタッチします。

解説

複数のAWSアカウントにわたり、Reserved Instancesの購入および変更に関する新たな中央集権的調達プロセスを安全かつ確実に強制するには、以下の手順が推奨されます: A. すべてのAWSアカウントが、すべての機能が有効化されたAWS OrganizationsのOrganizationに属していることを確認します。 D. ec2:PurchaseReservedInstancesOfferingアクションおよびec2:ModifyReservedInstancesアクションを拒否するService Control Policy(SCP)を作成し、Organization内の各Organizational Unit(OU)にそのSCPをアタッチします。 解説: 手順A:すべてのAWSアカウントをAWS OrganizationsのOrganization下に統合することで、アカウント全体にわたるポリシーの集中管理と適用が可能になります。これには、コンソリデーテッド・ビルリング、Service Control Policy(SCP)、その他の高度な管理機能が含まれます。 手順D:SCPは、Organization、OU、または個別アカウントレベルで設定可能なポリシーであり、AWSサービスおよびアクションに対する細かいアクセス制御と制限を実現できます。Reserved Instancesの購入および変更を明示的に拒否するSCPを作成し、各OUにアタッチすることで、事業部門による自主的な操作を防止し、新たな調達プロセスを確実に強制できます。 これらの手順により、すべてのAWSアカウントにおいて、Reserved Instancesの購入・変更を制限した上で、安全かつ一貫性のある運用が実現されます。AWS OrganizationsとSCPを活用することで、権限および許可されるアクションを集中管理・制御できます。 選択肢Bは不適切です。AWS Configは、指定アクションを拒否するIAMポリシーの適用状況を監視・報告する機能を提供しますが、それ自体ではプロセスの強制やアクションの実際の制限は行えません。 選択肢Cは不適切です。各AWSアカウントに個別にIAMポリシーを作成するのは、手動での設定が必要であり、規模が大きくなると一貫性の維持や集中管理が困難になるため、プロセスの強制には不向きです。 選択肢Eは不適切です。コンソリデーテッド・ビルリングはコスト管理上の利点をもたらしますが、Reserved Instancesの購入・変更プロセスを強制したり、関連アクションをセキュアに制限したりする機能はありません。 したがって、最も安全な方法で新しいプロセスを強制するために推奨される手順は、AおよびDです。