SAP-C02複雑な組織に対応するソリューションの設計HARD単一選択

ある企業が AWS Organizations の管理アカウントから、特定のメンバーアカウントへの意図しないアクセスを防止したいと考えています。Organizations の管理アカウントが持つ特権的なアクセス(管理アカウントからはどのメンバーアカウントにも AssumeRole できる)を制限したいと考えています。しかし、Organizations の SCP は管理アカウント自体には適用されません。管理アカウントから特定のメンバーアカウントへのアクセスをアクセス制御するには、どの方法が最も適切ですか?

  1. A. AWS Control Tower のドリフト検出機能で管理アカウントのアクセスを監視する
  2. B. CloudTrail で管理アカウントの AssumeRole をモニタリングし、不審なアクセスを手動で対応する
  3. C. 管理アカウントから SCP を使って管理アカウント自身のアクセスを制限する
  4. D. メンバーアカウントの IAM ロールの信頼ポリシーを変更し、管理アカウントのプリンシパルを明示的に拒否する条件(aws:PrincipalOrgPaths や明示的な Deny)を追加することで、管理アカウントからのアクセスをリソースレベルで制限する
解答と解説を見る

正解: D

SCP は管理アカウント(Management Account)には適用されません。そのため、管理アカウントからのアクセスを制限するには、メンバーアカウント側の IAM ロール信頼ポリシーでアクセスを明示的に拒否するか、aws:PrincipalOrgPaths 条件を使って特定の OU からのアクセスを制限する必要があります。これはリソースベースのアクセス制御として最も直接的な方法です。 C: SCP は管理アカウント自体には適用されないため、管理アカウントから自分自身の SCP で制限することはできません。 A: Control Tower のドリフト検出は設定の変更を検出しますが、アクセス制御そのものを提供しません。 B: CloudTrail によるモニタリングは事後検知であり、事前防止のアクセス制御には対応していません。

📚 関連サービスの解説: AWS IAM
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題