AWS認定資格 WEB問題集&徹底解説
SysOpsアドミニストレーター -アソシエイト
解説
D: これが最も効率的で包括的なソリューションです。SCPは組織全体に適用され、すべてのアカウントとユーザーに影響します。ルートレベルで適用することで、組織内のすべてのアカウントに自動的に適用されます。
A: この方法は反応的で、インスタンスが一時的に起動される可能性があります。また、各リージョンで個別に設定する必要があり、運用効率が低くなります。
B: この方法は各アカウントで個別に設定する必要があり、新しいグループの作成時に手動で適用する必要があるため、運用効率が低くなります。
C: 権限境界ポリシーは個々のIAMユーザーやロールに適用する必要があり、新しいユーザーやロールの作成時に手動で適用する必要があるため、運用効率が低くなります。
SCPを使用することで、組織全体に一貫したポリシーを適用でき、新しいアカウントが追加された場合でも自動的に適用されるため、最も運用効率の高いソリューションとなります。
AWS Identity and Access Management (AWS IAM)
AWS Organizations
A: この方法は反応的で、インスタンスが一時的に起動される可能性があります。また、各リージョンで個別に設定する必要があり、運用効率が低くなります。
B: この方法は各アカウントで個別に設定する必要があり、新しいグループの作成時に手動で適用する必要があるため、運用効率が低くなります。
C: 権限境界ポリシーは個々のIAMユーザーやロールに適用する必要があり、新しいユーザーやロールの作成時に手動で適用する必要があるため、運用効率が低くなります。
SCPを使用することで、組織全体に一貫したポリシーを適用でき、新しいアカウントが追加された場合でも自動的に適用されるため、最も運用効率の高いソリューションとなります。
関連サービスの解説
Amazon EC2AWS Identity and Access Management (AWS IAM)
AWS Organizations
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 87%
No.45 解説
ある企業は、複数のAWSアカウントを管理するためにAWS Organizationsを使用しています。企業ポリシーは、特定のAWSリージョンのみが顧客データの保存と処理に使用できることを義務付けています。シスオペ管理者は、社内の誰もが未承認のリージョンでAmazon EC2インスタンスをプロビジョニングすることを防止する必要があります。これらの要件を満たす最も運用効率の高いソリューションは何ですか?
- すべてのAPIアクティビティを記録するために、すべてのリージョンでAWS CloudTrailを構成する。ec2:RunInstancesイベント用のAmazon EventBridge (Amazon CloudWatch Events) ルールを、すべての未承認リージョンで作成します。AWS Lambdaを使用して、起動したEC2インスタンスを終了させます。
- 各 AWS アカウントで、リージョン条件を使用して、許可されていないすべてのリージョンでの ec2:RunInstances アクションを拒否する管理された IAM ポリシーを作成します。このポリシーを、各 AWS アカウントのすべての IAM グループにアタッチします。
- 各 AWS アカウントで、リージョン条件を使用して、許可されていないすべてのリージョンでの ec2:RunInstances アクションを拒否する IAM 権限境界ポリシーを作成します。各 AWS アカウントのすべての IAM ユーザーに権限バウンダリポリシーをアタッチします。
- AWS Organizationsでサービスコントロールポリシー(SCP)を作成し、すべての未承認リージョンでec2:RunInstancesアクションを拒否します。このポリシーを組織のルートレベルにアタッチします。