みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

この問題に関連する本質的な知識は、AWS OrganizationsService Control Policies (SCP)、および タグポリシー の利用です。

1. AWS Organizations の利用

AWS Organizationsは、複数のAWSアカウントを一元的に管理するためのサービスです。企業はAWS Organizationsを使って、複数のアカウントをグループ化し、リソースの管理やガバナンスを効率化できます。これにより、企業はセキュリティやコンプライアンスの基準を維持しやすくなります。

2. Service Control Policies (SCP) の活用

SCPは、AWS Organizations内でアクセス制御を行うためのポリシーです。SCPは、特定のAWSリージョンへのアクセスを制限することができます。例えば、あるメンバーアカウントに対して「us-east-1」リージョンのみアクセス可能とするように設定できます。これにより、規制要件に従ったアクセス制限が可能になります。

3. タグポリシー の設定

タグポリシーは、AWSリソースに対して一貫したタグ付けを強制するために使用します。企業のグループ標準に基づいて、リソースが必ず特定のタグを持つようにすることができます。タグポリシーを適用することで、企業のガバナンスと監視が簡単になります。

4. OU (Organizational Units) の使用

AWS Organizations内でOU(組織単位)を作成し、異なるグループのアカウントをまとめることで、それぞれのOUに特定のポリシーを適用できます。例えば、特定のOU内のアカウントにのみ特定のリージョンでリソースを展開できるように制限をかけることができます。

結論

AWS Organizations、SCP、タグポリシーを組み合わせて利用することで、アカウントに対するアクセス制限やリソース管理を効率的に行い、規制要件を満たすことができます。これにより、リソース管理が一元化され、セキュリティやコンプライアンスを簡単に維持できます。

実践

一問道場

質問 #273
トピック 1
ある企業は、複数のアカウントを管理するためにAWS Organizationsを使用しています。規制要件により、企業は特定のメンバーアカウントがリソースをデプロイできるAWSリージョンを制限したいと考えています。アカウント内のリソースはタグ付けされ、グループ標準に基づいて強制され、中央で最小限の設定で管理される必要があります。
これらの要件を満たすためにソリューションアーキテクトは何をすべきですか?
A. 特定のメンバーアカウントにAWS Configルールを作成してリージョンを制限し、タグポリシーを適用する。
B. AWS Billing and Cost Managementコンソールの管理アカウントから、特定のメンバーアカウントのリージョンを無効にし、ルートでタグポリシーを適用する。
C. 特定のメンバーアカウントをルートに関連付け、タグポリシーと条件を使用してリージョンを制限するSCPを適用する。
D. 特定のメンバーアカウントを新しいOUに関連付け、タグポリシーと条件を使用してリージョンを制限するSCPを適用する。

解説

この問題は、AWS Organizationsを使用して複数のアカウントを管理する企業が、規制要件に基づいて特定のリージョンに対してリソースのデプロイを制限し、タグ付けと管理を一元化する方法について問われています。
正しい解答はD:「特定のメンバーアカウントを新しいOUに関連付け、タグポリシーと条件を使用してリージョンを制限するSCPを適用する。」 です。
理由は以下の通りです:
  1. AWS Organizations と SCP (Service Control Policies):
      2. SCPを使用して、AWS Organizations内で特定のアカウントや組織単位(OU)に対してアクセス制御を行うことができます。SCPに条件を設定することで、特定のリージョンでのみリソースをデプロイできるように制限できます。
  1. タグポリシーの使用:
      2. タグポリシーは、リソースにタグを付ける際の標準を強制するために使用できます。これにより、企業のグループ標準に従ってタグ付けを管理できます。
  1. 新しいOUへの関連付け:
      2. 特定のアカウントを新しいOUに関連付けることで、そのOUに適用されるポリシー(SCPやタグポリシー)を一元的に管理し、必要な制限を適用できます。
他の選択肢についての評価:
  • A(AWS Configルールを使用):
      • AWS Configはリソースの設定や変更を追跡しますが、リージョンの制限には直接的に使用できません。AWS Organizationsでのアカウント制限にはSCPを使用する方が効果的です。
  • B(Billing and Cost Managementコンソールでのリージョン無効化):
      • 請求関連の設定でリージョンを無効にすることはできますが、この方法ではタグポリシーの適用や、規制要件に基づくリージョン制限の管理が不十分です。
  • C(ルートに関連付け、SCPとタグポリシーの使用):
      • ルートに関連付けると、組織内のすべてのアカウントに影響を与える可能性があり、特定のメンバーアカウントに対して細かい制限を加えるのには適していません。
したがって、Dが最も適切な選択肢です。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
274-AWS SAP AWS 「理論・実践・一問道場」署名付きURL272-AWS SAP AWS 「理論・実践・一問道場」Amazon Aurora Global Database
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%