ある企業が、AWS マネジメントコンソールへのアクセスを、特定の IP アドレス範囲(社内ネットワーク)からのみ許可したい。社外からのコンソールアクセスを完全に禁止する最も適切な方法はどれか。
- A. IAM ユーザーのポリシーに aws:SourceIp 条件を追加し、社内 IP 範囲からのアクセスのみを許可する。
- B. EC2 インスタンスのセキュリティグループで許可 IP を設定する。
- C. AWS Organizations の SCP で aws:SourceIp 条件キーを使って社内 IP 範囲以外からの コンソール関連 API コールを Deny する。
- D. Route 53 のリゾルバーで console.aws.amazon.com の IP を社内ネットワークからのみ解決できるよう設定する。
解答と解説を見る
正解: C
AWS Organizations の SCP で aws:SourceIp を使って特定の IP アドレス範囲以外からのリクエストを Deny することで、組織内の全アカウントのすべての IAM エンティティ(管理者含む)に対して IP 制限を強制できる。SCP は個別の IAM ポリシー変更では回避できないため、確実な制御が可能。選択肢BのEC2 セキュリティグループはEC2 インスタンスへのネットワークアクセスを制限するものであり、AWS マネジメントコンソールへのアクセス制限には使用しない。選択肢AのIAM ユーザーポリシーへの SourceIp 条件追加も有効だが、すべての IAM ユーザー・ロールへの個別追加が必要で漏れが発生しやすい。新規エンティティ作成時の適用も保証できない。SCP の方が組織全体への強制として確実。選択肢DのRoute 53 での DNS 設定は AWS マネジメントコンソールのアクセス制限としては意図したとおりに機能せず、セキュリティ制御の手段として不適切。
📚 関連サービスの解説: AWS Organizations