SCS-C02#3(governance)

ある企業はAWS Organizationsを利用しており、ProductionとSandboxの2つのOUを保有します。Sandbox OU内のアカウントでは、コスト管理のためEC2のインスタンスタイプをt3.microおよびt3.smallのみに制限したいと考えています。どのSCPが最も適切ですか。

A. Allow EffectでSandbox OUにec2:RunInstancesをt3.microとt3.smallのみ許可し、aws:RequestTagで条件付き分岐を組み合わせる複合SCPを設計して適用します。
B. Sandbox OUにアタッチされたサービスコントロールポリシーを削除し、各アカウントのIAMポリシーで個別にインスタンスタイプを制限します。
C. Deny Effectでec2:RunInstancesに対しec2:InstanceType StringNotEqualsでt3.microとt3.small以外を拒否するSCPをOUに適用します。
D. ec2:RunInstancesにResourceでarn:aws:ec2:::instance/t3.microを指定し、それ以外を暗黙的に拒否するAllow SCPを適用します。

正解と解説ディスカッション 0

正解：C

正解の根拠

SCPはDeny戦略が一般的で、ec2:InstanceTypeの条件キーをStringNotEqualsで使うと、許可リスト以外のタイプを起動するAPIコールが組織レベルで拒否されます。これはAWSが推奨するガードレール設計パターンです。

SCP条件キー例

項目	値
Effect	Deny
Action	ec2:RunInstances
Condition	StringNotEquals ec2:InstanceType

不正解の理由

A: SCPのAllow戦略はFullAWSAccessとの組み合わせが必要で、設計が複雑化します。
B: SCPを削除すると組織レベルのガードレールが失われ、IAM制御では一貫性がありません。
D: ec2:RunInstancesのResourceにインスタンスタイプは記述できず、構文として無効です。

参考：SCP strategies

SCS-C02#3(governance)

正解の根拠

SCP条件キー例

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

SCP条件キー例

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル