Q93 — AWS SCS-C02 第1章

第 93/100 問 | ← 第1章

ある企業は、AWS Organizationsを使用して、人事、財務、ソフトウェア開発、および本番部門の複数のAWSアカウントを管理しています。すべての開発者はソフトウェア開発AWSアカウントに所属しています。 企業は、開発者が承認されていないソフトウェアが事前に設定されたAmazon EC2インスタンスを起動したことを発見しました。企業は、開発者が承認済みのソフトウェアアプリケーションのみを含むEC2インスタンスを、ソフトウェア開発AWSアカウント内でのみ起動できるようにするソリューションを実装したいと考えています。 これらの要件を満たすソリューションはどれですか?

正解: C. 承認済みソフトウェアのみを含む適切なAMIを備えたEC2製品を含むAWS Service Catalogポートフォリオを使用します。開発者にService Catalogポートフォリオへのアクセス権限のみを付与し、ソフトウェア開発アカウント内で製品を起動できるようにします。

解説

AWS Organizationsは複数アカウントの集中管理に使用され、開発者が指定されたアカウント内でのみ承認済みソフトウェアを使用できるようにする必要があります。AWSベストプラクティスによると、リソース作成の制限には事前定義されたテンプレートと権限制御が有効です。AWS Service Catalogは、管理者が標準化された製品(例:コンプライアンス準拠のAMIを含むEC2設定)を作成し、ユーザーにアクセス権限を付与できるサービスです。選択肢Cは、Service Catalogポートフォリオを用いてコンプライアンス準拠のAMIの使用を強制し、開発者の起動先を指定アカウントに限定します。選択肢Aは開発者がテンプレートを積極的に使用することに依存し、強制力が不足しています。選択肢Bはインスタンス起動後にソフトウェアをインストールするため、中間状態のリスクがあります。選択肢Dは、他のアカウントへの展開を許容するため、開発アカウント内でのみ使用という要件に反します。正解は選択肢Cです。