Question#53(SAP-C02)

ある会社には、Amazon EC2 インスタンスを使用する Auto Scaling グループを利用したアプリケーションがあります。品質保証 (QA) 部門は、このアプリケーションをテストするために、短期間で多数の環境を起動する必要があります。現在、アプリケーション環境は部門のマネージャーが AWS CloudFormation テンプレートを使って起動しています。スタックを起動するために、マネージャーは CloudFormation、EC2、Auto Scaling API を使用する権限を持つロールを利用しています。マネージャーは、テスター自身が環境を起動できるようにしたいと考えていますが、各ユーザーに広範な権限を付与したくはありません。

この要件を満たす構成はどれですか？

A. AWS CloudFormation テンプレートを Amazon S3 にアップロードする。QA 部門のユーザーにマネージャーのロールを引き受ける権限を与え、そのポリシーにテンプレートおよびそのテンプレートが作成するリソースに制限を加える。ユーザーに CloudFormation コンソールからテンプレートを起動する方法を教育する。
B. 環境テンプレートから AWS Service Catalog 製品を作成する。製品に既存のロールを起動制約として追加する。QA 部門のユーザーに AWS Service Catalog API のみを使用できる権限を与える。ユーザーに AWS Service Catalog コンソールからテンプレートを起動する方法を教育する。
C. AWS CloudFormation テンプレートを Amazon S3 にアップロードする。QA 部門のユーザーに CloudFormation と S3 API を使用できる権限を与え、その条件をテンプレートおよびそのテンプレートが作成するリソースに制限する。ユーザーに CloudFormation コンソールからテンプレートを起動する方法を教育する。
D. 環境テンプレートから AWS Elastic Beanstalk アプリケーションを作成する。QA 部門のユーザーに Elastic Beanstalk の権限のみを付与する。ユーザーに Elastic Beanstalk CLI を使用して環境を起動し、既存のロールをサービスロールとして環境に渡す方法を教育する。

正解と解説ディスカッション 0

正解：B

このシナリオでの課題は、QA 部門のテスターが自分で環境を起動できるようにしつつ、各ユーザーに広範な IAM 権限（CloudFormation、EC2、Auto Scaling など）を直接付与せずに済ませたい、という点です。

AWS が提供する Service Catalog は、このニーズを満たすために設計されています。CloudFormation テンプレートを製品としてカタログ化し、起動制約（launch constraint）で既存のマネージャーロールを指定することで、ユーザーはそのロールを使って安全に環境を起動できます。こうすることでユーザー個別にリソース操作の権限を与える必要はなく、アクセス制御を最小限にしつつ自己サービス型の環境起動を可能にします。したがって、最も適切かつセキュアな選択肢は B です。 Service Catalog を利用することで、CloudFormation テンプレートを「製品」として公開し、起動時にマネージャーロールを利用する制約をかけられます。ユーザーは自分自身で環境を立ち上げられますが、裏では指定されたロールが使われるため、ユーザーに広範な権限を与える必要がありません。セキュリティ、ガバナンス、セルフサービスのバランスが取れており、AWS 推奨の方法です。

Question#53(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル