CLF-C02セキュリティとコンプライアンスMEDIUM単一選択

ある金融企業が、AWS上に機密性の高いワークロードを展開しています。特定のAWSサービスの使用を組織全体で禁止し、特定リージョン以外へのリソースデプロイを防ぎたいと考えています。この要件を実現するために最も適切なAWS機能はどれですか?

  1. A. Amazon GuardDutyの脅威インテリジェンス
  2. B. AWS Config Rules
  3. C. IAMポリシーの境界(Permissions Boundary)
  4. D. AWS Organizationsのサービスコントロールポリシー(SCP)
解答と解説を見る

正解: D

SCPはAWS Organizationsの中央管理機能で、組織全体または特定のOUに対してAWSサービスやアクション・リージョンへのアクセスを制限(または許可)するガードレールとして機能します。SCPで拒否された操作は、アカウント内の管理者権限を持つIAMユーザー・ロールでも実行できません。③Permissions BoundaryはIAMユーザー・ロールの権限の最大範囲を設定しますが、アカウントをまたいだ組織全体の制御には使えません。①GuardDutyは脅威検知です。②Config Rulesは検出はできますが、事前の操作防止にはなりません。

📚 関連サービスの解説: AWS Organizations
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題