Q44 — AWS SAP-C02 第3章
第 44/75 問 | ← 第3章
Q269. ある企業は、AWS Organizations 内の組織で数百の AWS アカウントを中央管理しています。この企業は最近、プロダクトチームが各自のアカウント内で独自の Amazon S3 アクセスポイントを作成・管理することを許可し始めました。これらの S3 アクセスポイントは、インターネット上ではなく、VPC 内からのみアクセス可能とします。この要件を実施するための、最も運用効率の良い方法はどれですか?
- A. S3 アクセスポイントのリソースポリシーを設定して、s3:CreateAccessPoint アクションを拒否するようにします。ただし、s3:AccessPointNetworkOrigin 条件キーが VPC と評価される場合は例外とします。
- B. 組織のルートレベルで Service Control Policy (SCP) を作成し、s3:CreateAccessPoint アクションを拒否するようにします。ただし、s3:AccessPointNetworkOrigin 条件キーが VPC と評価される場合は例外とします。 ✓
- C. AWS CloudFormation StackSets を使用して、各 AWS アカウントに新しい IAM ポリシーを作成します。このポリシーでは、s3:CreateAccessPoint アクションを許可する際に、s3:AccessPointNetworkOrigin 条件キーが VPC と評価される場合のみ許可します。
- D. S3 バケットポリシーを設定して、s3:CreateAccessPoint アクションを拒否するようにします。ただし、s3:AccessPointNetworkOrigin 条件キーが VPC と評価される場合は例外とします。
正解: B. 組織のルートレベルで Service Control Policy (SCP) を作成し、s3:CreateAccessPoint アクションを拒否するようにします。ただし、s3:AccessPointNetworkOrigin 条件キーが VPC と評価される場合は例外とします。
解説
組織のルートレベルで Service Control Policy (SCP) を作成し、s3:CreateAccessPoint アクションを、s3:AccessPointNetworkOrigin 条件キーが VPC と評価されない限り拒否するように設定することが、この要件を実施する最も運用効率の良い方法です。この解決策により、すべての AWS アカウントにわたってポリシーを一元的に制御・適用できます。選択肢 A は最適ではありません。なぜなら、これは個別のアクセスポイントにのみ適用されるため、多数のアカウントおよびアクセスポイントがある環境では管理が困難になるからです。選択肢 C は、CloudFormation StackSets を用いて各 AWS アカウントに IAM ポリシーを作成する必要があり、不必要な複雑さを追加してしまう可能性があります。選択肢 D は推奨されません。S3 バケットポリシーで S3 アクセスポイントへのアクセスを制限しても、粒度や将来の変更に対する柔軟性が得られないためです。「AWS SCP を設定することで、組織内の新規アクセスポイントがすべて『VPC 専用』タイプに限定されるよう強制できます。これにより、組織内で作成されるすべてのアクセスポイントが VPC 内からのみアクセス可能となり、データをプライベートネットワーク内に厳密に隔離(ファイアウォール化)できます。」