Q36 — AWS SAP-C02 第3章

第 36/75 問 | ← 第3章

Q261. ある企業は、AWS Organizations を使用して複数のアカウントを管理しています。規制上の要件により、特定のメンバー アカウントを、リソースをデプロイできる特定の AWS リージョンに制限したいと考えています。また、これらのアカウント内のリソースには、グループ標準に基づくタグ付けが必須であり、中央で一元管理し、設定作業を最小限に抑える必要があります。 これらの要件を満たすために、ソリューションズ アーキテクトは何を行うべきでしょうか?

正解: D. 特定のメンバー アカウントを新しい組織単位(OU)に関連付け、タグポリシーおよびリージョンを制限する条件付きのサービスコントロールポリシー(SCP)を適用する。

解説

特定のメンバー アカウントを特定の AWS リージョンに制限し、リソースへのタグ付けをグループ標準に基づいて強制し、最小限の設定で中央集権的に管理するという要件を満たすには、以下の方法が最適です。 特定のメンバー アカウントを新しい組織単位(OU)に関連付けることで、その OU に対してタグポリシーと、許可されるリージョンを制限するサービスコントロールポリシー(SCP)を適用できます。SCP は、組織内の各アカウントまたは OU において、ユーザーおよびロールが利用可能なサービスとアクションを指定するために使用されます。 タグポリシーを適用することで、これらのアカウントでデプロイされるすべてのリソースが定義されたグループ標準に従って一貫したタグ付けが保証されます。これにより、リソースの管理、コスト配分、チャージバックなどが容易になります。 このアプローチにより、必要な制限を確実に適用しつつ、各アカウントでの追加設定を最小限に抑え、中央集権的な管理を実現できます。