SCSC03-GOV#1
ある企業は AWS Organizations を使用しています。特定の OU 内のすべてのアカウントについて、一部のグローバルサービスを除き、ap-northeast-1 リージョン以外での操作を予防的に禁止する必要があります。既存アカウントと新規アカウントの両方に適用される必要があります。どの SCP が要件を満たしますか。
解説
【正解: A】の理由
SCP はメンバーアカウントのアクションに対する予防的なガードレールで、リージョン制限には Deny と aws:RequestedRegion 条件キーを組み合わせます。ap-northeast-1 以外を拒否するには、条件を StringNotEquals にして「要求リージョンが ap-northeast-1 と等しくない」場合に拒否します。さらに、IAM や Organizations、CloudFront などのグローバルサービスはリージョンに紐づかないため、これらを NotAction に列挙して拒否の対象から除外します。これにより、指定リージョン外での操作だけが拒否され、グローバルサービスと ap-northeast-1 の操作は許可される、要件どおりのガードレールになります。SCP は OU にアタッチすれば既存・新規の全アカウントへ自動適用されます。
【他選択肢が違う理由】
- B: 条件が StringEquals のため、ap-northeast-1 のリクエストが拒否され、目的と逆の結果になります。
- C: SCP の Allow は許可の最大範囲を定義するだけで、単独では何も拒否せず、リージョン制限を実現できません。
- D: NotAction ではなく Action を用いるとグローバルサービスも拒否対象になり、必要な例外を確保できません。

コメント