Q70 — AWS SAP-C02 第2章
第 70/75 問 | ← 第2章
Q220. ある企業には5つの開発チームがあり、各チームがアプリケーションの開発およびホスティングのために5つのAWSアカウントを作成しています。コストの追跡のため、開発チームは毎月各アカウントにログインし、AWS Billing and Cost Managementコンソールから現在の料金を記録して、その情報を財務チームに提供しています。 この企業には厳格なコンプライアンス要件があり、リソースは米国(United States)内のAWSリージョンでのみ作成されるようにする必要があります。しかし、実際には他のリージョンにもリソースが作成されています。ソリューションアーキテクトは、財務チームがすべてのアカウントにおける支出を追跡・集約できるようにするとともに、企業が米国内のリージョンでのみリソースを作成できるようにするソリューションを実装する必要があります。 これらの要件を、最も運用効率の良い方法で満たすために必要な手順の組み合わせはどれですか?(3つ選択)
- A. 管理アカウントとして機能する新しいアカウントを作成します。財務チーム用のAmazon S3バケットを作成します。AWS Cost and Usage Reportsを使用して月次レポートを作成し、財務チームのS3バケットにデータを保存します。
- B. 管理アカウントとして機能する新しいアカウントを作成します。AWS Organizationsで、すべての機能が有効化された組織(Organization)を展開します。既存のすべてのアカウントをこの組織に招待します。各アカウントが招待を承諾するよう確認します。 ✓
- C. すべての開発チームを含むOU(Organizational Unit)を作成します。米国内のリージョンでのみリソースを作成することを許可するSCP(Service Control Policy)を作成し、このOUに適用します。
- D. すべての開発チームを含むOUを作成します。米国以外のリージョンでリソースを作成することを拒否するSCPを作成し、このOUに適用します。 ✓
- E. 管理アカウントにIAMロールを作成します。Billing and Cost Managementコンソールを表示する権限を含むポリシーをアタッチします。財務チームのユーザーがこのロールを引き受ける(assume)できるように設定します。AWS Cost ExplorerおよびBilling and Cost Managementコンソールを使用してコストを分析します。 ✓
- F. 各AWSアカウントにIAMロールを作成します。Billing and Cost Managementコンソールを表示する権限を含むポリシーをアタッチします。財務チームのユーザーがこれらのロールを引き受けられるように設定します。
正解: B. 管理アカウントとして機能する新しいアカウントを作成します。AWS Organizationsで、すべての機能が有効化された組織(Organization)を展開します。既存のすべてのアカウントをこの組織に招待します。各アカウントが招待を承諾するよう確認します。, D. すべての開発チームを含むOUを作成します。米国以外のリージョンでリソースを作成することを拒否するSCPを作成し、このOUに適用します。, E. 管理アカウントにIAMロールを作成します。Billing and Cost Managementコンソールを表示する権限を含むポリシーをアタッチします。財務チームのユーザーがこのロールを引き受ける(assume)できるように設定します。AWS Cost ExplorerおよびBilling and Cost Managementコンソールを使用してコストを分析します。
解説
選択肢Aは、管理アカウントと財務チーム用のS3バケットを作成し、AWS Cost and Usage Reportsで月次レポートを生成してS3に保存するという手法を提案しています。しかし、これは要件を満たす最も運用効率の良い方法ではなく、米国内リージョン以外へのリソース作成を防止するという要件にも対応していません。 選択肢Cは、米国内リージョンでのみリソース作成を許可するSCPを作成するという手法を提案していますが、これは「米国外リージョンでのリソース作成を明示的に拒否する」SCP(選択肢D)と比較してセキュリティ面で劣り、最小権限の原則に反します。 選択肢Fは、各AWSアカウントに個別にIAMロールを作成し、Billing and Cost Managementコンソール表示権限を付与するという手法です。しかし、これは管理アカウントに1つのIAMロールを作成し、財務チームがそれを引き受けて全アカウントの請求情報を一元的に確認できるようにする手法(選択肢E)と比べ、中央集権化されておらず、運用効率も劣ります。 したがって、選択肢B、D、Eの組み合わせが最も適切です。すなわち:管理アカウントの作成、すべての機能が有効化されたAWS Organizationsの展開と既存アカウントの招待・参加の確保、全開発チームを含むOUの作成と米国外リージョンでのリソース作成を拒否するSCPの適用、そして管理アカウントにおけるBilling and Cost Managementコンソール表示権限付きIAMロールの作成です。このアプローチにより、厳格なコンプライアンス要件が満たされ、全アカウントの支出が集約され、開発チームのAWSアカウントに対する中央集権的な管理が可能となり、運用オーバーヘッドが削減されます。