Q9 — AWS SCS-C02 第1章
第 9/100 問 | ← 第1章
ある企業が、開発チーム向けのマルチアカウント構造を設計しています。同社はAWS OrganizationsおよびAWS IAM Identity Center(AWS Single Sign-On)を使用しています。同社は、開発チームが特定のAWSリージョンのみを使用できるようにし、各AWSアカウントが特定のAWSサービスのみにアクセスできるようにするソリューションを実装する必要があります。 これらの要件を満たすソリューションのうち、運用オーバーヘッドが最も少ないものはどれですか?
- A. IAM Identity Centerを使用して、Condition、Resource、およびNotAction要素を含むIAMポリシー文でサービス関連ロールをセットアップし、必要なリージョンおよびサービスへのアクセスのみを許可します。
- B. 開発者が使用することを許可されていないリージョンでAWS Security Token Service(AWS STS)を無効化します。
- C. 必要なリージョンおよびサービスへのアクセスのみを許可するため、Condition、Resource、およびNotAction要素を含むサービス制御ポリシー(SCP)を作成します。 ✓
- D. 各AWSアカウントに対して、IAM Identity Center用にカスタマイズされたIDベースのポリシーを作成します。必要なリージョンおよびサービスへのアクセスのみを許可するために、Condition、Resource、およびNotAction要素を含むステートメントを使用します。
正解: C. 必要なリージョンおよびサービスへのアクセスのみを許可するため、Condition、Resource、およびNotAction要素を含むサービス制御ポリシー(SCP)を作成します。
解説
AWSマルチアカウントアーキテクチャ設計において、開発チームによる特定AWSリージョンおよびサービスへのアクセス制限には、サービス制御ポリシー(SCP)を用いる必要があります。AWS Organizationsのドキュメントによると、SCPは組織単位(OU)または組織全体レベルで集中管理され、各アカウントごとに個別設定する必要はありません。選択肢Cは、Condition、ResourceおよびNotAction要素を用いたSCPを一度設定することで、複数のアカウントに一括適用可能であり、運用負荷が最小です。選択肢Dは各アカウントごとにIDベースポリシーをカスタマイズする必要があり、運用が複雑です。選択肢Aのサービス関連ロールは、通常AWSサービス間の相互作用に使用され、ユーザー権限管理には適用されません。選択肢BはSTSをリージョン単位で無効化することは不可能であり、STSはグローバルサービスです。正解はAWS SCPのベストプラクティスに基づきます。