Q9 — AWS SCS-C02 第1章

第 9/100 問 | ← 第1章

ある企業が、開発チーム向けのマルチアカウント構造を設計しています。同社はAWS OrganizationsおよびAWS IAM Identity Center(AWS Single Sign-On)を使用しています。同社は、開発チームが特定のAWSリージョンのみを使用できるようにし、各AWSアカウントが特定のAWSサービスのみにアクセスできるようにするソリューションを実装する必要があります。 これらの要件を満たすソリューションのうち、運用オーバーヘッドが最も少ないものはどれですか?

正解: C. 必要なリージョンおよびサービスへのアクセスのみを許可するため、Condition、Resource、およびNotAction要素を含むサービス制御ポリシー(SCP)を作成します。

解説

AWSマルチアカウントアーキテクチャ設計において、開発チームによる特定AWSリージョンおよびサービスへのアクセス制限には、サービス制御ポリシー(SCP)を用いる必要があります。AWS Organizationsのドキュメントによると、SCPは組織単位(OU)または組織全体レベルで集中管理され、各アカウントごとに個別設定する必要はありません。選択肢Cは、Condition、ResourceおよびNotAction要素を用いたSCPを一度設定することで、複数のアカウントに一括適用可能であり、運用負荷が最小です。選択肢Dは各アカウントごとにIDベースポリシーをカスタマイズする必要があり、運用が複雑です。選択肢Aのサービス関連ロールは、通常AWSサービス間の相互作用に使用され、ユーザー権限管理には適用されません。選択肢BはSTSをリージョン単位で無効化することは不可能であり、STSはグローバルサービスです。正解はAWS SCPのベストプラクティスに基づきます。