Q68 — AWS SAP-C02 第3章
第 68/75 問 | ← 第3章
Q293. ある企業は、AWS Control Tower を使用して AWS 上でマルチアカウント構造を編成しています。この企業では、AWS Organizations、AWS Config、AWS Trusted Advisor を活用しています。また、開発者が AWS 上で実験を行うために利用する専用の開発アカウント用組織単位(OU)を設定しています。同社には数百人の開発者がおり、各開発者には個別の開発アカウントが割り当てられています。企業は、これらの開発アカウントにおけるコスト最適化を図りたいと考えています。これらのアカウント内の Amazon EC2 インスタンスおよび Amazon RDS インスタンスは、バースト可能なタイプである必要があります。また、関係のない他のサービスの利用は禁止したいと考えています。これらの要件を満たすために、ソリューションアーキテクトは何を推奨すべきでしょうか?
- A. AWS Organizations でカスタム SCP(Service Control Policy)を作成し、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止します。この SCP を開発 OU に適用します。 ✓
- B. AWS Control Tower でカスタム検知型ガードレール(detective guardrail)を作成します。このガードレールを、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止するように設定します。このガードレールを開発 OU に適用します。
- C. AWS Control Tower でカスタム予防型ガードレール(preventive guardrail)を作成します。このガードレールを、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止するように設定します。このガードレールを開発 OU に適用します。
- D. AWS Control Tower アカウント内で AWS Config ルールを作成します。この AWS Config ルールを、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止するように設定します。AWS CloudFormation StackSets を使用して、この AWS Config ルールを開発 OU に展開します。
正解: A. AWS Organizations でカスタム SCP(Service Control Policy)を作成し、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止します。この SCP を開発 OU に適用します。
解説
A. AWS Organizations でカスタム SCP(Service Control Policy)を作成し、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止します。この SCP を開発 OU に適用します。 開発アカウントにおけるコスト最適化、バースト可能なインスタンスの利用許可、および関係のないサービスの利用禁止という要件を満たす最も適切な対応策は、AWS Organizations でカスタム SCP を作成し、開発 OU に適用することです。 その理由は以下のとおりです: 選択肢 A では、AWS Organizations 内でカスタム SCP を作成することを提案しています。SCP は、組織内の AWS アカウントに対して細かい権限および制限を定義するために使用されます。カスタム SCP を作成することで、ソリューションアーキテクトは、必要に応じてバースト性能を利用するためのバースト可能なインスタンスのみのデプロイを許可し、コスト最適化を支援できます。さらに、SCP を使用すれば、関係のないサービスの利用を明示的に禁止し、開発者が必要なサービスのみを使用できるように制限できます。 この SCP を開発 OU に適用することで、当該 OU 内の開発者アカウントに対してのみ適用され、開発アカウント内でのリソース管理と最適化をきめ細かく制御できます。 選択肢 B では、AWS Control Tower におけるカスタム検知型ガードレールの作成を提案しています。検知型ガードレールは、潜在的な問題を特定し、是正措置に関する推奨事項を提供するものですが、リソースのデプロイを積極的に制御したり、サービスの利用を制限したりする目的には不適切です。 選択肢 C では、AWS Control Tower におけるカスタム予防型ガードレールの作成を提案しています。予防型ガードレールは、非準拠リソースを自動的に是正する機能を持ちますが、バースト可能なインスタンスの利用を許可し、特定のサービスを明示的に禁止するといった細かい制御には向いていません。 選択肢 D では、AWS Control Tower アカウント内に AWS Config ルールを作成することを提案しています。AWS Config ルールは、リソースの構成を事前に定義されたルールと照合して評価するものですが、リソースのデプロイ自体を制御したり、サービスの利用を制限したりする目的には不適切です。 したがって、開発アカウントにおけるコスト最適化、バースト可能なインスタンスの利用許可、および関係のないサービスの利用禁止という要件を満たす最も適切な選択肢は、以下の通りです: A. AWS Organizations でカスタム SCP(Service Control Policy)を作成し、バースト可能なインスタンスのみのデプロイを許可し、関係のないサービスの利用を禁止します。この SCP を開発 OU に適用します。