Question#2(SCS-C01)
ある会社はAWS Organizationsを使用して少数のAWSアカウントを管理しています。しかし、この会社は近々1,000以上のアカウントを追加する予定です。 会社は、IAMロールの作成を中央のセキュリティチームだけに許可しています。アプリケーションチームは、セキュリティチームにIAMロールの作成をリクエストしています。セキュリティチームは、IAMロールのリクエストのバックログを抱えており、迅速にレビューやプロビジョニングができていません。
セキュリティチームは、アプリケーションチームが自分たちでIAMロールをプロビジョニングできるプロセスを作成する必要があります。そのプロセスは、IAMロールのスコープを制限し、権限昇格を防ぐ必要があります。 次のうち、最も運用上のオーバーヘッドが少なく、この要件を満たすソリューションはどれですか?正解:D
SCPでアカウント全体の上限を設定し、アクセス許可境界でIAMロールの上限を設定する組み合わせにより、権限昇格を防ぎつつスケーラブルに運用可能です。
このシナリオの要件は以下の通りです:
- アプリケーションチームが自分でIAMロールを作成できるようにする(中央チームのボトルネック解消)。
- ただし、IAMロールのスコープを制限し、権限昇格を防止する必要がある。
- 1,000以上のアカウントを扱うため、運用上のオーバーヘッドを最小限にする必要がある。
- SCP はOUやアカウントレベルで「アカウント内で付与できる権限の最大範囲」を制限します。
- アクセス許可境界 はIAMロールやIAMユーザーに対して「割り当て可能な権限の範囲」を制御します。 → これにより、アプリケーションチームは自由にIAMロールを作成できますが、必ず制限付きの境界内でしか権限を付与できず、権限昇格は防止されます。
コメント