CLF-C02セキュリティとコンプライアンスHARD単一選択

ある大企業が、AWS Organizations を使って複数のAWSアカウントを一元管理しています。全アカウントに特定のセキュリティポリシー(例:特定リージョン以外でのリソース作成を禁止)を強制したいと考えています。最も適切なアプローチはどれですか?

  1. A. Amazon GuardDutyを有効化し、ポリシー違反を検出する
  2. B. 各アカウントのIAM管理者に個別に依頼して、同じポリシーを手動で設定してもらう
  3. C. AWS Organizationsのサービスコントロールポリシー(SCP)を使って、組織全体またはOUに適用する
  4. D. AWS Config Rules を各アカウントに個別にデプロイする
解答と解説を見る

正解: C

サービスコントロールポリシー(SCP)はAWS Organizationsの機能で、組織全体・特定のOU・個別アカウントにガードレール(許可・拒否ルール)を適用できます。マスターアカウントから集中管理でき、SCPで拒否された操作はアカウント内の管理者でも実行できません。②手動での個別設定は規模が大きくなると管理不能です。④Config Rulesは検出はできますが、操作を事前に防止するガードレールにはなりません。①GuardDutyは脅威検知で、ポリシー違反の防止機能はありません。

📚 関連サービスの解説: AWS Organizations
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題