ある企業が AWS Organizations を使って管理するマルチアカウント環境で、本番環境に対するすべての変更(インフラ変更、デプロイ)に対して変更管理プロセスを適用したいと考えています。本番アカウントへの手動変更(コンソールやCLIからの直接操作)を完全に禁止し、すべての変更はコードとして CI/CD パイプライン経由でのみ適用できるようにしたいと考えています。最も適切な実装はどれですか?
- A. 本番アカウントにルートユーザーのみを残し、変更はルートユーザーが手動で実施する
- B. AWS CloudFormation のドリフト検出を有効化して手動変更を検出し、検出後に管理者に通知する
- C. IAM Identity Center でユーザーの本番アカウントへの Read Only 権限のみを付与し、実際の変更はデプロイ専用の IAM ロール(PowerUserAccess)のみが持つ。このデプロイロールは CI/CD パイプライン(CodePipeline)のサービスロールのみが引き受けられるよう信頼ポリシーを設定する。SCP で IAM 経由の変更を制限し、コンソール経由の変更を防ぐ
- D. 本番アカウントのすべての IAM ユーザーのパスワードを無効化する
解答と解説を見る
正解: C
手動変更を禁止するには、人間のユーザーには Read Only 権限のみを付与し、変更権限(PowerUserAccess 等)はパイプラインのサービスロールのみに付与します。デプロイロールの信頼ポリシーで CodePipeline サービスのみが引き受け可能にすることで、人間が直接変更ロールを引き受けることを防ぎます。SCP で追加のガードレールを設定します。 D: パスワードを無効化しても、アクセスキーやロール引き受けによる変更は可能です。包括的な制御にはなりません。 A: ルートユーザーは IAM の上位で SCP も適用されないため、セキュリティ上最も危険なアプローチです。ルートユーザーの使用は AWS が強く禁止しています。 B: CloudFormation ドリフト検出は手動変更を事後検知するものであり、変更の予防はできません。
📚 関連サービスの解説: AWS IAM Identity Center ・ AWS IAM