[SAA-C01] 顧客は企業のITガバナンスと、部門で消費されるすべてのAWSリソースのコストを監視したいと考えています。各部門には独自のAWSアカウントがあり、アカウントレベル…

分野 3: セキュアなアプリケーションおよびアーキテクチャを規定する

回答

  • A
  • D

解説

  • AWS Organizationsを使用すると、カスタムスクリプトや手動プロセスを使用せずに、複数のAWSアカウントでポリシーを集中管理できます。たとえば、組織のメンバーである複数のAWSアカウントにサービスコントロールポリシー(SCP)を適用できます。 SCPを使用すると、組織のメンバー AWSアカウント内のAWS Identity and Access Management(IAM)エンティティ(IAMユーザーやロールなど)によって実行できるAWSサービスAPIと実行できないAWSサービスAPIを定義できます。 SCPは、組織の作成時に使用したAWSアカウントであるマスターアカウントから作成および適用されます。
  • 質問では別のAWSアカウントを使用する必要があると述べられているため、選択肢Bは正しくありません
  • サービスコントロールポリシーを使用する必要があるため、選択肢Cは誤りです。「AWS IAMは、その分のレベル、つまりAWSサービスAPIがIAMエンティティによって実行できるものとできないものへのアクセス許可を定義する機能を提供しません。」
  • サービスコントロールポリシーの使用方法の詳細については、次のURLを参照してください。
  • https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-in-aws-organizations/