Q37 — AWS SCS-C02 第1章

第 37/100 問 | ← 第1章

ある企業は、AWS Organizations内の自社組織外のIAMアイデンティティに対して、Amazon S3オブジェクトが共有されないようにする必要があります。セキュリティエンジニアは、この目的のためにSCP(Service Control Policy)を作成・展開しています。企業は、すべてのS3バケットでS3 Block Public Access機能を有効化しています。 これらの要件を満たすために、SCPは何を行うべきですか?

正解: A. StringNotEquals演算子、aws:ResourceOrgIDキー、および${aws:PrincipalOrgID}値を含むCondition要素とともにS3:*アクションを拒否します。

解説

AWS SCP(Service Control Policy)は、メンバー アカウントの権限範囲を制限するために使用されます。AWS Organizationsのドキュメントによると、aws:PrincipalOrgIDおよびaws:ResourceOrgIDは、リソースが同一AWS組織内でのみ共有されることを保証するための条件キーです。選択肢Aは、S3:*を拒否し、Condition内でStringNotEqualsを用いてResourceOrgIDとPrincipalOrgIDを比較することで、リクエスト者とリソースが同一組織内にある場合にのみ操作を許可します。他の選択肢は、制限が不十分(B、D)または文法エラー(C)、あるいはすべてのシナリオをカバーできない(B、D)です。正解はAです。