Q51 — AWS SCS-C02 第1章
第 51/100 問 | ← 第1章
ある企業は、AWS Organizationsを用いて少数のAWSアカウントを管理しています。しかし、今後すぐに1,000以上のアカウントを追加する予定です。同社では、すべてのAWSアカウントおよびチーム向けIAMロールの作成を、中央集権型のセキュリティチームのみが許可されています。アプリケーションチームはIAMロールの作成をセキュリティチームに依頼します。セキュリティチームは現在、IAMロール作成依頼のバックログを抱えており、レビューおよびプロビジョニングが迅速に行えません。セキュリティチームは、アプリケーションチームが自らIAMロールを作成できるプロセスを構築する必要があります。同時に、IAMロールのスコープを制限し、特権昇格を防止する必要があります。 これらの要件を満たす解決策のうち、運用オーバーヘッドが最も少ないものはどれですか?
- A. 各アプリケーションチームごとにIAMグループを作成します。各IAMグループにポリシーを関連付けます。各アプリケーションチームメンバー向けにIAMユーザーをプロビジョニングします。役割ベースのアクセス制御(RBAC)を用いて、新規IAMユーザーを適切なIAMグループに追加します。
- B. アプリケーションチームのリーダーにIAMロールの作成を委任します。四半期ごとにチームリーダーが作成したIAMロールをレビューし、適切なトレーニングを受けてIAMロールをレビューできるよう確保します。
- C. 各AWSアカウントを個別のOUに配置します。各OUにSCPを追加し、チームが使用する予定のAWSサービスのみへのアクセスを許可します。各チームのAWSアカウントに条件を含めます。
- D. IAMロール用のSCPおよびパーミッションバウンダリーを作成します。このSCPをルートOUに追加し、パーミッションバウンダリーがアタッチされたロールのみが新しいIAMロールを作成できるようにします。 ✓
正解: D. IAMロール用のSCPおよびパーミッションバウンダリーを作成します。このSCPをルートOUに追加し、パーミッションバウンダリーがアタッチされたロールのみが新しいIAMロールを作成できるようにします。
解説
AWS OrganizationsとService Control Policies(SCP)およびパーミッションバウンダリー(Permissions Boundary)を組み合わせることで、IAMロールの作成権限を集中管理しつつ、その権限範囲を制限できます。SCPはOUレベル全体に適用され、すべてのIAMロールが特定のパーミッションバウンダリーを付与されることを強制できます(パーミッションバウンダリーは、ロールが付与できる最大権限を定義します)。このソリューションでは、各チームごとに個別にポリシーを設定する必要がなく、ルートOUに単一のSCPを適用するだけで、すべての子アカウントが継承するため、最小限の運用オーバーヘッドで要件を満たします。選択肢Dは、SCPによる全社的制約とパーミッションバウンダリーによる具体的なロール権限制限を組み合わせており、セルフサービスでのロール作成を許可しつつ、特権昇格を防止します。他の選択肢は、手動管理(A、B)や多数のOUポリシーの保守(C)など、より高い運用コストを伴います。