Q73 — AWS SAP-C02 第2章

第 73/75 問 | ← 第2章

Q223. ある企業は、多数の個別のAWSアカウントを保有しており、中央集約型の請求管理や運用管理を行っていません。各AWSアカウントは、企業内の異なる部門が提供するサービスをホストしています。また、同社にはMicrosoft Azure Active Directory(Azure AD)が展開されています。 ソリューションアーキテクトは、企業のAWSアカウントに対する請求および運用の中央集約化を実現する必要があります。さらに、手動によるユーザー管理ではなくIDフェデレーションを導入したいと考えています。また、長期有効なアクセスキーではなく一時的な資格情報(temporary credentials)の利用も求められています。これらの要件を満たすための手順の組み合わせとして、適切なものを3つ選んでください。

正解: A. 管理用アカウントとして機能する新しいAWSアカウントを作成します。AWS OrganizationsでOrganizationを作成し、既存の各AWSアカウントをOrganizationに招待します。各アカウントが招待を承諾することを確認します。, C. 管理アカウントにAWS Single Sign-On(AWS SSO)を展開します。AWS SSOをAzure Active Directoryに接続し、ユーザーおよびグループの自動同期を有効に設定します。, E. AWS Single Sign-On(AWS SSO)のパーミッションセットを作成します。適切なAWS SSOグループおよびAWSアカウントに、これらのパーミッションセットをアタッチします。

解説

選択肢Bは、各AWSアカウントのメールアドレスをaws+@example.comに設定することで、アカウント管理関連のメールや請求書を一元的に受信可能にするというものです。この方法はメールや請求書の集中管理には役立ちますが、請求および運用の中央集約化機能を提供しません。 選択肢Dは、管理アカウントにAWS Managed Microsoft ADディレクトリを展開し、AWS RAMを用いてOrganization内の他のすべてのアカウントと共有するというものです。この方法はマネージドディレクトリおよびディレクトリ共有機能を提供しますが、請求および運用の中央集約化機能は提供しません。 選択肢Fは、各AWSアカウントのIAMを設定し、認証・承認にAWS Managed Microsoft ADを利用するというものです。この方法は認証・承認の集中管理を実現しますが、請求および運用の中央集約化機能は提供しません。 したがって、選択肢A、C、Eが最も適切な解決策です。すなわち、管理用アカウントの作成、AWS OrganizationsによるOrganizationの構築と既存アカウントの招待・承諾、管理アカウントへのAWS SSOの展開とAzure ADとの連携、ユーザーおよびグループの自動同期の設定、AWS SSOのパーミッションセットの作成および対象グループ・アカウントへの割り当てによって、複数のAWSアカウントにわたる運用管理の集中化、IDフェデレーション、およびAWSリソースへの安全なアクセスを可能にする一時的な資格情報の利用が実現されます。