Q93 — AWS SCS-C02 第1章
第 93/100 問 | ← 第1章
ある企業は、AWS Organizationsを使用して、人事、財務、ソフトウェア開発、および本番部門の複数のAWSアカウントを管理しています。すべての開発者はソフトウェア開発AWSアカウントに所属しています。 企業は、開発者が承認されていないソフトウェアが事前に設定されたAmazon EC2インスタンスを起動したことを発見しました。企業は、開発者が承認済みのソフトウェアアプリケーションのみを含むEC2インスタンスを、ソフトウェア開発AWSアカウント内でのみ起動できるようにするソリューションを実装したいと考えています。 これらの要件を満たすソリューションはどれですか?
- A. ソフトウェア開発アカウントで、承認済みソフトウェアのみを含む事前設定済みインスタンスのAMIを作成します。AWSリージョンに基づいて適切なAMIを起動するため、AWS CloudFormationテンプレートの条件セクションにAMI IDを含めます。開発者にこのCloudFormationテンプレートを提供し、ソフトウェア開発アカウント内でEC2インスタンスを起動できるようにします。
- B. ソフトウェア開発アカウントでEC2 RunInstances APIイベントが発生した際に実行されるAmazon EventBridgeルールを作成します。ルールのターゲットとしてAWS Systems Manager Run Commandを指定します。Run Commandを構成し、開発者が起動したインスタンスにすべての承認済みソフトウェアをインストールするスクリプトを実行します。
- C. 承認済みソフトウェアのみを含む適切なAMIを備えたEC2製品を含むAWS Service Catalogポートフォリオを使用します。開発者にService Catalogポートフォリオへのアクセス権限のみを付与し、ソフトウェア開発アカウント内で製品を起動できるようにします。 ✓
- D. 管理アカウントで、承認済みソフトウェアのみを含む事前設定済みインスタンスのAMIを作成します。AWS CloudFormation StackSetsを使用して、組織内の任意のAWSアカウントにAMIを展開します。開発者に管理アカウント内でスタックセットを起動する権限を付与します。
正解: C. 承認済みソフトウェアのみを含む適切なAMIを備えたEC2製品を含むAWS Service Catalogポートフォリオを使用します。開発者にService Catalogポートフォリオへのアクセス権限のみを付与し、ソフトウェア開発アカウント内で製品を起動できるようにします。
解説
AWS Organizationsは複数アカウントの集中管理に使用され、開発者が指定されたアカウント内でのみ承認済みソフトウェアを使用できるようにする必要があります。AWSベストプラクティスによると、リソース作成の制限には事前定義されたテンプレートと権限制御が有効です。AWS Service Catalogは、管理者が標準化された製品(例:コンプライアンス準拠のAMIを含むEC2設定)を作成し、ユーザーにアクセス権限を付与できるサービスです。選択肢Cは、Service Catalogポートフォリオを用いてコンプライアンス準拠のAMIの使用を強制し、開発者の起動先を指定アカウントに限定します。選択肢Aは開発者がテンプレートを積極的に使用することに依存し、強制力が不足しています。選択肢Bはインスタンス起動後にソフトウェアをインストールするため、中間状態のリスクがあります。選択肢Dは、他のアカウントへの展開を許容するため、開発アカウント内でのみ使用という要件に反します。正解は選択肢Cです。