SCS-C02#3(identity-access)

ある企業は AWS IAM Identity Center を導入し、複数の AWS アカウントへの SSO を提供しています。財務チームには月次の請求レポート閲覧権限のみを与えたいと考えています。同じ permission set を複数アカウントで使い回し、運用負荷を最小限にする必要があります。

どの設計が最も適切ですか。

A. permission set を作成し Billing 関連のマネージドポリシーを付与します。
B. 対象アカウントごとに IAM ユーザーを個別に作成し、それぞれに Billing 権限ポリシーを手動付与し、人員異動のたびにアカウント数 × 人数の更新を実施します。
C. Organizations の管理アカウント内にのみ IAM ロールを作成し、財務ユーザー全員でその単一ロールを共有して、必要時にスイッチロールで利用してもらう構成にします。
D. ルートユーザー認証情報を財務チームに共有し、必要時のみ MFA 確認を経て利用してもらうことで、各 AWS アカウントの請求情報へ直接アクセスさせます。

正解と解説ディスカッション 0

正解：A

正解の根拠

IAM Identity Center の permission set は、複数アカウントへ一貫したアクセスを割り当てる仕組みです。Billing マネージドポリシーをアタッチした permission set を作成し、各 AWS アカウントにアサインメントすることで、最小権限と運用効率の両立が図れます。

不正解の理由

B: アカウント数 × 人数の IAM ユーザー管理は scale せず、ベストプラクティスに反します。
C: 単一アカウント内のロールでは複数アカウントへの SSO アクセス要件を満たせません。
D: ルートユーザー共有は最も避けるべきパターンであり、職務分離も成立しません。

参考：Permission set

SCS-C02#3(identity-access)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル