Q27 — AWS SCS-C02 第1章
第 27/100 問 | ← 第1章
ある企業は、AWS OrganizationsでSCP(Service Control Policies)を適用した組織を持っています。組織のルートSCPは以下の通りです: この企業の開発者は、Amazon Simple Email Service (Amazon SES) へのアクセスを許可するses:*アクションを許可するIAMポリシーが付与されたグループのメンバーです。当該アカウントは、Amazon SESを許可するSCPが適用されたOU(Organizational Unit)の子アカウントです。しかし、開発者はAWSマネジメントコンソール経由でAmazon SESにアクセスしようとすると「権限がありません」というエラーを受け取っています。 開発者がAmazon SESにアクセスできるようにするために、セキュリティエンジニアが実施しなければならない変更はどれですか?
- A. 各グループメンバーがAmazon SESにアクセスできるよう、リソースポリシーを追加します。
- B. 「Principal」: {「AWS」: 「arn:aws:iam::account-number:group/Dev」} を許可するリソースポリシーを追加します。
- C. Amazon SESへのアクセスを制限するAWS Control Towerコントロール(ガードレール)を削除します。
- D. ルートSCPからAmazon SESを削除します。 ✓
正解: D. ルートSCPからAmazon SESを削除します。
解説
問題文の説明によると、組織のルートSCPにはAmazon SESへのアクセスを拒否(Deny)するルールが存在します。開発者のIAMポリシーはSESへのアクセスを許可していますが、ルートSCP内の拒否ルールにより、依然としてアクセスできません。この問題を解決するには、ルートSCPからAmazon SESに対する拒否ルールを削除する必要があります。これにより、開発者はSESにアクセスできるようになります。他の選択肢は問題の本質に沿っておらず、あるいは有効な解決策ではありません。