SCS-C02#1(governance)

ある企業はAWS Organizationsで複数のAWSアカウントを運用しています。セキュリティ部門は、メンバーアカウントに含まれるすべてのIAMユーザーがルートアカウントのアクセスキーを作成できないように、組織全体で予防的な統制を実装したいと考えています。最も少ない運用負荷でこの要件を満たす方法はどれですか。

A. 管理アカウントでAWS Configルールiam-root-access-key-checkを有効化し、検出時にSSM AutomationでアクセスキーをローテーションするEventBridgeルールを構成します。
B. サービスコントロールポリシーを作成し、Conditionにaws:PrincipalArnでrootユーザーを指定してiam:CreateAccessKeyをDenyし、ルートOUにアタッチします。
C. 各メンバーアカウントにIAMロールを作成し、ルートユーザーがログインした際にCloudTrailからEventBridgeで通知メールを送信する仕組みを実装します。
D. AWS Control TowerのAccount FactoryでLZ機能を利用し、各アカウント作成時にCloudFormationでrootアクセスキー削除スクリプトを毎日実行させます。

正解と解説ディスカッション 0

正解：B

正解の根拠

SCPはOrganizationsでメンバーアカウントのアクションを予防的に制御する唯一のメカニズムであり、aws:PrincipalArnの条件キーでrootユーザーのみを対象にiam:CreateAccessKeyを拒否することで、APIコール自体をブロックできます。

SCPでのroot制御例

要素	値
Effect	Deny
Action	iam:CreateAccessKey
Condition	StringLike aws:PrincipalArn /root

不正解の理由

A: Configルールは検出後の事後対応であり、作成自体を防止できないため予防的統制になりません。
C: ログインの通知のみで、アクセスキー作成のAPI呼び出しを防止しません。
D: Control Towerが個別CFNでスクリプト実行する仕組みではなく、削除運用は事後的です。

参考：Service control policies (SCPs)

SCS-C02#1(governance)

正解の根拠

SCPでのroot制御例

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

SCPでのroot制御例

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル