Q20 — AWS SAP-C02 第3章

第 20/75 問 | ← 第3章

Q245. ある企業は、AWS Organizations を使用して組織を管理しています。同社は AWS Control Tower を使用して、この組織向けにランディングゾーンを展開しています。同社はガバナンスおよびポリシーの強制を実装したいと考えています。具体的には、同社の本番用 OU(Organizational Unit)内において、暗号化されていない Amazon RDS DB インスタンス(静止時暗号化が有効になっていないもの)を検出するポリシーを実装する必要があります。 この要件を満たすソリューションはどれですか?

正解: B. AWS Control Tower の「強く推奨されるコントロール(ガードレール)」一覧から適切なコントロール(ガードレール)を有効化し、そのコントロール(ガードレール)を本番用 OU に適用する

解説

AWS Control Tower は、組織におけるガバナンスおよびポリシー強制を支援するためのガードレールを提供します。これらのガードレールは、セキュリティおよび運用基準への準拠を保証するために有効化可能な、事前設定されたポリシーおよびベストプラクティスです。 本番用 OU 内で静止時暗号化が有効になっていない Amazon RDS DB インスタンスを検出するポリシーを実装するには、AWS Control Tower の「強く推奨されるコントロール(ガードレール)」一覧から該当するガードレール(例:RDS 暗号化の監視を目的としたルールを含むもの)を有効化し、本番用 OU に適用する必要があります。このガードレールは、暗号化されていない RDS DB インスタンスを検出するための専用ルールを備えています。 選択肢 A は不適切です。必須コントロール(ガードレール)を有効化することはガバナンスとポリシー強制において重要ですが、それらは必ずしも「暗号化されていない RDS DB インスタンスの検出」を目的としたルールを含むとは限りません。 選択肢 C は不適切です。AWS Config を使用してカスタムルールを作成することも可能ですが、本要件については AWS Control Tower に既存の適切なガードレールが用意されているため、新たに作成する必要はありません。 選択肢 D は不適切です。カスタム SCP(Service Control Policy)を作成することは、細かいアクセス許可や制限を強制する場合に有効ですが、静止時暗号化されていない RDS DB インスタンスの「検出」には向いていません。本要件には、AWS Control Tower のガードレールがより適したソリューションです。