Q67 — AWS SCS-C02 第1章

第 67/100 問 | ← 第1章

ある企業は、AWS Organizationsを用いてマルチアカウント戦略を実装しています。同社にはオンプレミスインフラストラクチャは存在せず、すべてのワークロードはAWS上で実行されています。現在、8つのメンバー アカウントがあります。同社は、将来的にも最大で20個のAWSアカウントしか保有しないと予測しています。 同社は以下の要件を含む新しいセキュリティポリシーを発行しました: • どのAWSアカウントも、自身のAWSアカウント内にあるVPCをワークロードに使用してはならない。 • 同社は、すべてのAWSアカウントがサブネット内でワークロードを起動できるように、中央管理されたVPCを活用しなければならない。 • どのAWSアカウントも、中央管理されたVPC内にある他のAWSアカウントのアプリケーションリソースを変更してはならない。 • 中央管理されたVPCは、AWS Organizations内の既存のAWSアカウント「Account-A」内に配置されなければならない。 同社は、CloudFormationテンプレートを使用してAccount-A内に複数のサブネットを含むVPCを作成しており、このテンプレートはCloudFormation Outputsセクションを通じてサブネットIDをエクスポートしています。 これらの要件を満たすセキュリティ設定を完了するソリューションはどれですか?

正解: C. AWS Resource Access Manager(AWS RAM)を使用して、Account-AのVPCサブネットを残りのメンバー アカウントと共有します。メンバー アカウントを、共有されたサブネットを使用してワークロードを起動するように設定します。

解説

AWS Resource Access Manager(AWS RAM)は、アカウント間でのリソース共有を可能にします。問題文の要件では、Account-Aの中央VPCからサブネットを提供し、各アカウントが他のアカウントのリソースを変更できないことが必須です。AWS RAMは、組織全体へのサブネット共有をサポートし、メンバー アカウントは共有サブネットにリソースをデプロイできます。異なるアカウントのリソースはデフォルトで分離されており、相互の変更はできません。選択肢AのFn::ImportValueは同一アカウント内でのスタック間参照に限定されます。選択肢BのTransit Gatewayはネットワーク接続に使用され、サブネットの直接共有には対応しません。選択肢DのVPCピアリング接続はルーティングの手動設定が必要であり、変更権限の制御もできません。AWS公式ドキュメントでは、このようなシナリオにおける標準的な手法としてAWS RAMによるサブネット共有が推奨されています。