Q46 — AWS SAP-C02 第3章
第 46/75 問 | ← 第3章
Q271. ある企業は、複数の部門向けに複数のAWSアカウントを中央管理下で作成・管理する必要があります。セキュリティチームは、自社のAWSアカウントからすべてのアカウントに対する読み取り専用アクセス権を要求しています。この企業はAWS Organizationsを使用しており、セキュリティチーム専用のアカウントもすでに作成済みです。ソリューションアーキテクトは、これらの要件をどのように満たすべきでしょうか?
- A. OrganizationAccountAccessRole IAMロールを使用して、各メンバー アカウントで読み取り専用アクセス権を持つ新しいIAMポリシーを作成します。各メンバー アカウント内のIAMポリシーとセキュリティ アカウントの間に信頼関係を確立します。セキュリティチームに対して、そのIAMポリシーを利用してアクセスするよう指示します。
- B. OrganizationAccountAccessRole IAMロールを使用して、各メンバー アカウントで読み取り専用アクセス権を持つ新しいIAMロールを作成します。各メンバー アカウント内のIAMロールとセキュリティ アカウントの間に信頼関係を確立します。セキュリティチームに対して、そのIAMロールを引き受けてアクセスするよう指示します。 ✓
- C. セキュリティチームに対して、AWS Security Token Service (AWS STS) を使用し、セキュリティ アカウントからマスターアカウント内の OrganizationAccountAccessRole IAMロールに対して AssumeRole API を呼び出すよう指示します。生成された一時的な認証情報を使用してアクセスします。
- D. セキュリティチームに対して、AWS Security Token Service (AWS STS) を使用し、セキュリティ アカウントから各メンバー アカウント内の OrganizationAccountAccessRole IAMロールに対して AssumeRole API を呼び出すよう指示します。生成された一時的な認証情報を使用してアクセスします。
正解: B. OrganizationAccountAccessRole IAMロールを使用して、各メンバー アカウントで読み取り専用アクセス権を持つ新しいIAMロールを作成します。各メンバー アカウント内のIAMロールとセキュリティ アカウントの間に信頼関係を確立します。セキュリティチームに対して、そのIAMロールを引き受けてアクセスするよう指示します。
解説
このアプローチでは、各メンバー アカウント内にAWSリソースへの読み取り専用アクセス権を持つ新しいIAMロールを作成します。OrganizationAccountAccessRole IAMロールを活用することで、これらのロールをすべてのメンバー アカウントに自動的に展開できます。IAMロールの設定が完了したら、各メンバー アカウント内のIAMロールとセキュリティ アカウントの間に信頼関係を確立し、セキュリティチームがそのIAMロールを引き受けることで、自社アカウントからすべてのメンバー アカウントへ読み取り専用でアクセスできるようになります。セキュリティチームにOrganizationAccountAccessRoleを引き受けさせることは、読み取り専用ではなくフルアクセス(完全な管理者権限)を付与することになるため、要件を満たしません。OrganizationAccountAccessRoleは、メンバー アカウント内で完全な管理者権限を持ちます。