Question#51(SCS-C01)
ある会社は数百の AWS アカウントを持ち、AWS Organizations を使用しています。会社は、プロダクトチーム、セキュリティチーム、プラットフォームチーム向けに多くの IAM ロールとポリシーを作成する計画です。いくつかの IAM ポリシーはチーム間で共有されます。
セキュリティエンジニアは、各チームの IAM ロールを論理的にグループ化できるソリューションを実装する必要があります。さらに、そのソリューションは プラットフォームチームだけが AWS サービスに対して IAM の権限委任(PassRole)を実行できる ようにしなければなりません。 この要件を満たすソリューションはどれですか。正解:A
IAM パスでロールを論理的にグループ化し、SCP の条件(aws:PrincipalArn とワイルドカード)で プラットフォームチームのプリンシパルのみ iam:PassRole を実行可能 にします。これが要件の「グループ化」と「委任の限定」を同時に満たします。
要件は二つあります。第一に「各チームの IAM ロールを論理的にグループ化」すること、第二に「AWS サービスに対する権限委任(iam:PassRole) を プラットフォームチームだけ に許可すること」です。
IAM パス(例:/platform/、/product/、/security/)を用いれば、ロールの ARN にパスが組み込まれるため、組織全体で明確にグルーピングできます(例:arn:aws:iam::<account-id>:role/platform/*)。Organizations の サービスコントロールポリシー(SCP) は条件キー aws:PrincipalArn を使って呼び出し元プリンシパルを絞り込めるため、SCP で「iam:PassRole を デフォルト拒否、ただし aws:PrincipalArn が /platform/ パス配下のロールにマッチするときのみ許可」という制御が可能です。これにより、権限委任を実行できるのはプラットフォームチームのロールに限定され、要件を忠実に満たします。なお、iam:PassRole はロールを各種 AWS サービス(例:EC2、ECS、Glue など)の代入先に”渡す”操作を制御するための中心権限であり、ここをSCPで縛ることが本質です。
コメント