Q66 — AWS SAP-C02 第3章

第 66/75 問 | ← 第3章

Q291. ある企業が、AWS Organizations 内の新しい組織へ開発および本番ワークロードを移行しています。同社は、開発用と本番用にそれぞれ個別のメンバー アカウントを作成しました。また、請求の統合(Consolidated billing)は管理アカウントに紐付けられています。管理アカウント内で、ソリューションズアーキテクトは、両方のメンバー アカウント内のリソースを停止または終了できる IAM ユーザーを作成する必要があります。 この要件を満たす解決策はどれですか?

正解: D. 管理アカウント内で IAM ユーザーを作成します。メンバー アカウント内で、最小権限アクセスを持つクロスアカウントロールを作成します。信頼ポリシー(trust policy)を用いて、この IAM ユーザーが各メンバー アカウントのロールにアクセスできるように許可します。

解説

管理アカウント内の IAM ユーザーが両方のメンバー アカウント内のリソースを停止・終了できるようにするには、クロスアカウントアクセスを実現する解決策が必要です。目的は、両方のメンバー アカウントでリソースを停止・終了するための権限を付与することであるため、必要な権限を持つクロスアカウントロールを作成し、それを IAM ユーザーと関連付ける必要があります。したがって、正しい解決策は選択肢 D です。 選択肢 D では、まず管理アカウントに IAM ユーザーを作成し、その後、各メンバー アカウントにリソースの停止・終了に必要な権限を持つクロスアカウントロールを作成します。さらに、信頼ポリシーを用いて、管理アカウントの IAM ユーザーが各メンバー アカウントのロールを引き受ける(assume)ことを許可します。 選択肢 A は誤りです。管理アカウント内に作成されたクロスアカウントロールは、メンバー アカウント内のリソースにアクセスするための権限を IAM ユーザーに付与しません(ロール自体がメンバー アカウントに存在していないため)。選択肢 B は誤りです。各メンバー アカウントに別々の IAM ユーザーを作成すると、管理負荷が増大し、セキュリティリスクも高まります。選択肢 C も誤りです。メンバー アカウント内に作成された IAM グループは、管理アカウントの IAM ユーザーに直接アクセス権限を付与できません(IAM グループは同一アカウント内でのみ有効です)。