MENU

会員登録（無料）

Question#24(SCS-C01)

この問題のディスカッション

Question#24(SCS-C01)

会社は AWS Organizations を利用しており、現在はデフォルトの サービスコントロールポリシー（SCP） が有効になっています。

要件は次の通りです：

特定のOUに属するすべてのAWSアカウントについて、AWSの利用を制限する。
一部のグローバルサービス（例: IAM, Route 53, CloudFront など）を除き、利用できるリージョンは eu-west-1 のみとする。
この制限は既存アカウントおよび新しいアカウントに適用される必要がある。

セキュリティエンジニアはこの要件を満たす SCP を作成する必要があります。どのSCPを使えば要件を満たしますか？

A. {
"Sid": "DenyNonDefaultRegions",
"Effect": "Deny",
"NotAction": [ "" ],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [ "eu-west-1" ]
}
}
}
B. {
"Sid": "DenyNonDefaultRegions",
"Effect": "Allow",
"Action": [ "" ],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [ "eu-west-1" ]
}
}
}
C. {
"Sid": "DenyNonDefaultRegions",
"Effect": "Deny",
"NotAction": [ "" ],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [ "eu-west-1" ]
}
}
}
D. {
"Sid": "DenyNonDefaultRegions",
"Effect": "Allow",
"NotAction": [ "" ],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [ "eu-west-1" ]
}
}
}

正解と解説ディスカッション 0

正解：C

これは 最も正しい書き方。
Effect: Deny で、指定リージョンが eu-west-1 ではない場合に拒否（StringNotEquals）。
一部のグローバルサービス (NotAction) は例外的に許可される。
これにより「グローバルサービスは例外」「他のすべてのアクションは eu-west-1 以外を禁止」が実現できる。

Deny + StringNotEquals + NotAction

このSCPを使えば、指定のグローバルサービス以外は eu-west-1 以外のリージョンで利用できなくなるため、要件を満たします。

コメント

コメント

コメントするコメントをキャンセル