グローバルに展開する金融機関が AWS Organizations を使用して 80 以上の AWS アカウントを管理しています。セキュリティチームは、すべての本番アカウントで Amazon S3 のパブリックアクセスブロックを強制的に有効化し、かつ開発アカウントでは IAM ユーザーの作成を禁止したいと考えています。本番 OU と開発 OU はそれぞれ別の OU に整理されています。最小限の運用負荷でこれらのポリシーを適用するには、どの方法が最も適切ですか?
- A. Organizations の SCP(サービスコントロールポリシー)を作成し、本番 OU には S3 パブリックアクセスブロックの無効化を拒否する SCP を、開発 OU には IAM ユーザー作成を拒否する SCP をそれぞれアタッチする
- B. AWS Control Tower のガードレールを使用して、全アカウントに同一ポリシーを適用し、後から例外設定で開発アカウントを除外する
- C. 各アカウントの管理者に AWS Config ルールを手動でデプロイするよう依頼し、非準拠リソースを自動修復する Lambda 関数を設定する
- D. IAM アクセスアナライザーを管理アカウントで有効化し、全メンバーアカウントのポリシー違反を検出して SNS 通知を送信する
解答と解説を見る
正解: A
SCP は Organizations の OU 単位でアタッチでき、配下のすべてのアカウントに継承されます。本番 OU に S3 パブリックアクセスブロック無効化の Deny SCP を、開発 OU に IAM ユーザー作成の Deny SCP をアタッチすることで、最小限の運用で要件を満たせます。 C: Config ルールは検出と修復を行いますが、アクション自体を事前に防止する予防的ガードレールではなく、運用負荷も高くなります。 B: Control Tower のガードレールは OU レベルで適用されますが、異なる OU に異なる要件を持つ場合は SCP を直接使う方がシンプルで柔軟です。また Control Tower の初期セットアップには追加の運用負荷が伴います。 D: IAM アクセスアナライザーは外部エンティティへのアクセスを検出するサービスであり、ポリシー強制(予防)ではなく検出(発見)が主目的です。
📚 関連サービスの解説: AWS Organizations ・ Amazon S3