Q51 — AWS SCS-C02 第1章

第 51/100 問 | ← 第1章

ある企業は、AWS Organizationsを用いて少数のAWSアカウントを管理しています。しかし、今後すぐに1,000以上のアカウントを追加する予定です。同社では、すべてのAWSアカウントおよびチーム向けIAMロールの作成を、中央集権型のセキュリティチームのみが許可されています。アプリケーションチームはIAMロールの作成をセキュリティチームに依頼します。セキュリティチームは現在、IAMロール作成依頼のバックログを抱えており、レビューおよびプロビジョニングが迅速に行えません。セキュリティチームは、アプリケーションチームが自らIAMロールを作成できるプロセスを構築する必要があります。同時に、IAMロールのスコープを制限し、特権昇格を防止する必要があります。 これらの要件を満たす解決策のうち、運用オーバーヘッドが最も少ないものはどれですか?

正解: D. IAMロール用のSCPおよびパーミッションバウンダリーを作成します。このSCPをルートOUに追加し、パーミッションバウンダリーがアタッチされたロールのみが新しいIAMロールを作成できるようにします。

解説

AWS OrganizationsとService Control Policies(SCP)およびパーミッションバウンダリー(Permissions Boundary)を組み合わせることで、IAMロールの作成権限を集中管理しつつ、その権限範囲を制限できます。SCPはOUレベル全体に適用され、すべてのIAMロールが特定のパーミッションバウンダリーを付与されることを強制できます(パーミッションバウンダリーは、ロールが付与できる最大権限を定義します)。このソリューションでは、各チームごとに個別にポリシーを設定する必要がなく、ルートOUに単一のSCPを適用するだけで、すべての子アカウントが継承するため、最小限の運用オーバーヘッドで要件を満たします。選択肢Dは、SCPによる全社的制約とパーミッションバウンダリーによる具体的なロール権限制限を組み合わせており、セルフサービスでのロール作成を許可しつつ、特権昇格を防止します。他の選択肢は、手動管理(A、B)や多数のOUポリシーの保守(C)など、より高い運用コストを伴います。