Q37 — AWS SCS-C02 第1章
第 37/100 問 | ← 第1章
ある企業は、AWS Organizations内の自社組織外のIAMアイデンティティに対して、Amazon S3オブジェクトが共有されないようにする必要があります。セキュリティエンジニアは、この目的のためにSCP(Service Control Policy)を作成・展開しています。企業は、すべてのS3バケットでS3 Block Public Access機能を有効化しています。 これらの要件を満たすために、SCPは何を行うべきですか?
- A. StringNotEquals演算子、aws:ResourceOrgIDキー、および${aws:PrincipalOrgID}値を含むCondition要素とともにS3:*アクションを拒否します。 ✓
- B. StringLike演算子、aws:PrincipalArnキー、および外部IAMプリンシパルの値を含むCondition要素とともにS3:PutAccountPublicAccessBlockアクションを拒否します。
- C. StringNotEquals演算子、aws:PrincipalOrgIDキー、および${aws:PrincipalOrgID}値を含むCondition要素とともにS3:*アクションを許可します。
- D. StringLike演算子、aws:PrincipalArnキー、および外部IAMプリンシパルの値を含むCondition要素とともにS3:*アクションを拒否します。
正解: A. StringNotEquals演算子、aws:ResourceOrgIDキー、および${aws:PrincipalOrgID}値を含むCondition要素とともにS3:*アクションを拒否します。
解説
AWS SCP(Service Control Policy)は、メンバー アカウントの権限範囲を制限するために使用されます。AWS Organizationsのドキュメントによると、aws:PrincipalOrgIDおよびaws:ResourceOrgIDは、リソースが同一AWS組織内でのみ共有されることを保証するための条件キーです。選択肢Aは、S3:*を拒否し、Condition内でStringNotEqualsを用いてResourceOrgIDとPrincipalOrgIDを比較することで、リクエスト者とリソースが同一組織内にある場合にのみ操作を許可します。他の選択肢は、制限が不十分(B、D)または文法エラー(C)、あるいはすべてのシナリオをカバーできない(B、D)です。正解はAです。