Question#13(SAP-C02)

ある会社は AWS Organizations を使って複数アカウントを管理しています。ソリューションアーキテクトは、「管理者ロールだけが IAM アクションを実行できる」ように設計しなければなりません。ただし、ソリューションアーキテクトは会社内のすべての AWS アカウントにアクセスできるわけではありません。

最小の運用オーバーヘッドでこの要件を満たす解はどれですか？

A. すべての AWS アカウントに適用される SCP を作成し、管理者ロールに対してのみ IAM アクションを許可する。SCP をルート OU に適用する。
B. AWS CloudTrail で IAM アクションに関する各イベントをトリガーに AWS Lambda 関数を呼び出すよう構成する。管理者以外のユーザーが呼び出したアクションは関数で拒否する。
C. すべての AWS アカウントに適用される SCP を作成し、管理者ロール以外のすべてのプリンシパルに対して IAM アクションを拒否する。SCP をルート OU に適用する。
D. IAM のパーミッションバウンダリを作成して IAM アクションを許可する。全アカウントのすべての管理者ロールにパーミッションバウンダリをアタッチする。

正解と解説ディスカッション 0

正解：C

組織横断で最小運用のコントロールをしたい場合は、AWS Organizations のサービスコントロールポリシー（SCP）をルート OU に適用して一括で縛るのが最も効率的です。SCP は許可を付与するものではなく、各アカウント内の IAM ポリシーが付与する許可の上限（ガードレール）を定義するものです。したがって「特定ロールだけ許す」要件は、Deny ベースで表現するのが正解です。

具体的には、"Effect": "Deny", "Action": "iam:*" をベースにし、管理者ロールだけを条件で除外します（例：aws:PrincipalArn で arn:aws:iam::*:role/Admin* のような命名規則に一致するロールを除外、または aws:PrincipalTag を使って管理者ロールにタグを付け、そのタグを条件に除外）。この SCP をルート OUに適用すれば、全アカウントに横断適用でき、各アカウントへの個別作業が不要＝運用オーバーヘッド最小です。

Question#13(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル