SAP-C02複雑な組織に対応するソリューションの設計HARD単一選択

多国籍企業が AWS に移行を進めており、欧州のデータ主権規制(GDPR)により欧州顧客のデータは EU リージョン外に出てはならないという要件があります。組織は AWS Organizations で管理されており、EU 向けのアカウントが特定の OU に集約されています。誤って EU 以外のリージョンにリソースがデプロイされることを防ぐ最も適切な方法はどれですか?

  1. A. IAM アクセスアナライザーのポリシー検証機能を使って、EU 以外のリージョンを参照するポリシーを定期的にスキャンして削除する
  2. B. AWS Config ルールを使って EU 以外のリージョンで作成されたリソースを検出し、自動的に削除する Lambda 関数を設定する
  3. C. 各アカウントの IAM ユーザーに対して、EU リージョン以外でのリソース作成を拒否する IAM ポリシーを追加する
  4. D. EU OU に対して SCP を作成し、aws:RequestedRegion 条件でアクセス許可するリージョンを eu-west-1、eu-central-1 などの EU リージョンのみに制限する Deny ルールを設定する
解答と解説を見る

正解: D

SCP の aws:RequestedRegion グローバル条件キーを使うと、許可するリージョンをホワイトリスト方式で指定できます。EU OU にこの SCP をアタッチすることで、配下のすべてのアカウントで EU 以外のリージョンへの API 呼び出しが拒否され、誤ったリージョンへのデプロイを予防的に防止できます。 C: IAM ユーザー単位のポリシーは管理が複雑で、IAM ロールや新規ユーザーへの適用漏れが生じるリスクがあります。SCP は全プリンシパルに適用されるため確実性が高いです。 B: Config は事後検出であり、データが EU 外に一時的にでも書き込まれる可能性があります。データ主権規制への対応には事前防止が必要です。 A: IAM アクセスアナライザーはポリシーの論理的な問題を検出するツールであり、リージョン制御やリソースデプロイの防止機能はありません。

📚 関連サービスの解説: AWS Organizations
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題