SAP-C02#2(complexity)

ある製造企業は AWS Control Tower でランディングゾーンを構築しており、Account Factory で新規アカウントを払い出しています。事業部から「Production OU 配下のアカウントでは ap-northeast-1 と us-east-1 以外のリージョンを使用禁止にしたい」という要望があります。既存の予防的コントロールを最小限の変更で実現する方法はどれですか。

A. 各アカウントの IAM ロールに NotAction によるリージョン制限ポリシーを実装したうえで、Account Factory のテンプレートにベースラインとして組み込み、新規アカウント作成時に自動展開させます。
B. Production OU に Region Deny の SCP をアタッチし、aws:RequestedRegion 条件で許可外を拒否、グローバルサービスは NotAction で除外します。
C. Control Tower のリージョン拒否ガードレール (発見的) を Production OU に有効化し、AWS Config が違反を検出した時点で EventBridge から Lambda を起動して該当リソースを終了させます。
D. VPC エンドポイントポリシーで指定外リージョンへの API 呼び出しをブロックし、ネットワーク経路で禁止を強制したうえで、CloudTrail 監視を併用して逸脱を検出します。

正解と解説ディスカッション 0

正解：B

正解の根拠

SCP (Service Control Policy) は予防的コントロールであり、Organizations 配下のアカウントで実行される API 呼び出しそのものを拒否できます。aws:RequestedRegion 条件キーで許可リージョンを定義し、IAM や Route 53 などのグローバルサービスを NotAction で除外することがベストプラクティスです。

{
  "Effect": "Deny",
  "NotAction": ["iam:*","route53:*","cloudfront:*","support:*"],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:RequestedRegion": ["ap-northeast-1","us-east-1"]
    }
  }
}

不正解の理由

A: IAM ポリシーは個別ユーザーやロールに対する許可制御で、ルート資格情報やアカウント横断の包括拒否には不向きです。
C: 発見的コントロールは事後対応のため、リソースが一時的に作成されてしまい予防になりません。
D: VPC エンドポイントポリシーは VPC 経由の特定 API のみが対象で、コンソールや外部からの呼び出しは制限できません。

参考：SCP examples - General

SAP-C02#2(complexity)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル