Q27 — AWS SOA-C02 第1章
第 27/100 問 | ← 第1章
ある企業は、AWS Organizations内の組織に複数のメンバー アカウントを保有しています。この企業は最近、管理者がアカウントのルートユーザー資格情報を使用していることを発見しました。企業は、管理者がAmazon EC2インスタンスに対してルートユーザー資格情報を用いていかなる操作も実行できないようにする必要があります。 この要件を満たすために、SysOps管理者は何を行うべきですか?
- A. 各メンバー アカウントで、ルートユーザーによるEC2インスタンス上の操作を拒否するIDベースのIAMポリシーを作成します。
- B. 組織の管理アカウントで、すべてのメンバー アカウントにおいてルートユーザーによるEC2インスタンス上の操作を拒否するサービス制御ポリシー(SCP)を作成します。 ✓
- C. AWS Configを使用して、ルートユーザーによるEC2インスタンス上の操作を防止します。
- D. 各メンバー アカウントでAmazon Inspectorを使用し、ルートユーザーのログインをスキャンして、ルートユーザーによるEC2インスタンス上の操作を防止します。
正解: B. 組織の管理アカウントで、すべてのメンバー アカウントにおいてルートユーザーによるEC2インスタンス上の操作を拒否するサービス制御ポリシー(SCP)を作成します。
解説
AWS Organizationsにおけるサービス制御ポリシー(SCP)は、管理アカウントから定義された権限境界をすべてのメンバー アカウントに適用できます。IAMポリシーはIDベースですが、ルートユーザーの権限を上書きできません。一方、SCPは組織レベルのポリシーであり、ルートユーザーの操作を全範囲で制限できます。オプションBは、SCPを用いてすべてのメンバー アカウントにおけるルートユーザーのEC2操作を一元的に制限しており、要件を満たします。オプションAは各アカウントごとに個別設定が必要であり、「several member accounts」の効率的な管理要件を満たしません。オプションCのAWS Configはコンプライアンス評価用であり、リアルタイムのブロッキング機能はありません。オプションDのAmazon Inspectorはセキュリティ評価用であり、アクセス制御機能ではありません。正解はBです。(出典:AWS SCPドキュメント)