AWS認定資格 WEB問題集&徹底解説
SysOpsアドミニストレーター -アソシエイト
正解 エ問題
(会員限定)
1
2
3
4
解説
正解は選択肢エです。AWS Organizationsでサービスコントロールポリシー(SCP)を使用することにより、AWSアカウント全体でのポリシーコントロールが強化されます。未承認のリージョンでの予期せぬEC2インスタンスの起動を防止するために、SCPを使用してec2:RunInstancesアクションを拒否することができます。これにより、企業ポリシーが強制され、違反が防止されます。各AWSアカウントに管理されたIAMポリシーを作成することもできますが、SCPはより中央集権化されたアプローチであり、全体的な管理プロセスを簡素化することができます。 CloudTrailを構成し、Amazon EventBridgeルールを組み合わせて、Lambda関数を使用してEC2インスタンスを終了することはできますが、単純すぎず、要件を満たすのに最も効率的な方法とは考えられません。IAM権限境界ポリシーを作成して、各IAMユーザーにアタッチすることもできますが、SCPがより簡単で包括的なアプローチです。
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 87%
No.45 解説
ある企業は、複数のAWSアカウントを管理するためにAWS Organizationsを使用しています。企業ポリシーは、特定のAWSリージョンのみが顧客データの保存と処理に使用できることを義務付けています。シスオペ管理者は、社内の誰もが未承認のリージョンでAmazon EC2インスタンスをプロビジョニングすることを防止する必要があります。これらの要件を満たす最も運用効率の高いソリューションは何ですか?
- すべてのAPIアクティビティを記録するために、すべてのリージョンでAWS CloudTrailを構成する。ec2:RunInstancesイベント用のAmazon EventBridge (Amazon CloudWatch Events) ルールを、すべての未承認リージョンで作成します。AWS Lambdaを使用して、起動したEC2インスタンスを終了させます。
- 各 AWS アカウントで、リージョン条件を使用して、許可されていないすべてのリージョンでの ec2:RunInstances アクションを拒否する管理された IAM ポリシーを作成します。このポリシーを、各 AWS アカウントのすべての IAM グループにアタッチします。
- 各 AWS アカウントで、リージョン条件を使用して、許可されていないすべてのリージョンでの ec2:RunInstances アクションを拒否する IAM 権限境界ポリシーを作成します。各 AWS アカウントのすべての IAM ユーザーに権限バウンダリポリシーをアタッチします。
- AWS Organizationsでサービスコントロールポリシー(SCP)を作成し、すべての未承認リージョンでec2:RunInstancesアクションを拒否します。このポリシーを組織のルートレベルにアタッチします。