SCS-C02#2(identity-access)

あるグローバル企業は AWS Organizations を使用しています。開発 OU 配下のすべてのアカウントで、IAM ユーザーの新規作成を組織レベルで完全に禁止する必要があります。アカウント管理者が誤って許可ポリシーを付与した場合でも、IAM ユーザー作成は確実にブロックされる必要があります。

どのアプローチが最も適切ですか。

A. 開発 OU の全アカウントでルートユーザーを使用し、IAM ユーザー作成 API の呼び出しを毎日手作業でレビューし、不正な作成があれば即座に削除する運用体制を整備します。
B. AWS Config の managed ルールを開発 OU に展開し、IAM ユーザーが作成された場合に SNS 経由で通知メールを送信する仕組みを構築します。
C. iam:CreateUser を Deny する SCP を作成し開発 OU にアタッチします。
D. CloudTrail のログを Athena で毎時クエリし、CreateUser イベントが見つかれば手動で削除する事後対応の運用フローをセキュリティ運用チームが構築します。

正解と解説ディスカッション 0

正解：C

正解の根拠

SCP は OU またはアカウントに対する権限の上限を定義する組織ガードレールであり、たとえメンバーアカウント内で iam:CreateUser を Allow するポリシーが付与されても、SCP の Deny が優先され API がブロックされます。事後検知ではなく予防的コントロールが必要な要件に最適です。

不正解の理由

A: ルートユーザー常用は重大なリスクで、AWS のベストプラクティスに反します。
B: Config は事後検知のみで、作成自体をブロックできず予防要件に合致しません。
D: Athena 毎時クエリは検知遅延が大きく、削除前に悪用される可能性があります。

参考：SCP の概要

SCS-C02#2(identity-access)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル