SAP-C02#5(complexity)

ある政府系機関は AWS Organizations の master アカウント直下に Security OU と Workloads OU を持ちます。Workloads OU 配下のすべてのアカウントで、IAM ユーザーが MFA を有効化していない場合は読み取り操作以外を拒否したいと考えています。例外として「Break-Glass」ロールだけは制限を受けないようにします。最適な方法はどれですか。

A. Workloads OU に Deny SCP を適用し、aws:MultiFactorAuthPresent が false のとき書き込みを拒否、Break-Glass ロールは StringNotLike で除外します。
B. 各アカウントの IAM パスワードポリシーで MFA 必須を強制したうえで、組織レベルでは追加設定を行わずに、AWS Config でコンプライアンス監視のみを実施します。
C. AWS Config マネージドルール iam-user-mfa-enabled をすべてのアカウントで有効化し、違反を Lambda で自動修復してユーザーを無効化したうえで管理者へ通知します。
D. Service Catalog で MFA 強制ポリシー入りの IAM ベースラインスタックを配布し、各チームに手動デプロイを依頼したうえで月次レビューで未対応を是正します。

正解と解説ディスカッション 0

正解：A

正解の根拠

SCP は予防的ガードレールで、グローバル条件キー aws:MultiFactorAuthPresent を用いれば MFA 未認証セッションのアクションを拒否できます。aws:PrincipalArn による StringNotLike 例外を組み合わせることで、緊急用 Break-Glass ロールを除外できます。

{
  "Effect": "Deny",
  "NotAction": ["*:Get*","*:List*","*:Describe*"],
  "Resource": "*",
  "Condition": {
    "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"},
    "StringNotLike": {"aws:PrincipalArn": "arn:aws:iam::*:role/BreakGlass*"}
  }
}

不正解の理由

B: パスワードポリシーは MFA 自体を必須化できず、API 呼び出しレベルで拒否することもできません。
C: AWS Config は発見的で、違反検知までの間に書き込みが許可されてしまうため予防になりません。
D: Service Catalog のベースライン配布は強制力がなく、手動デプロイ漏れが発生する可能性があります。

参考：aws:MultiFactorAuthPresent

SAP-C02#5(complexity)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル