type
status
date
slug
summary
tags
category
icon
password
理論
1. AWS Organizationsとは?
AWS Organizationsは、複数のAWSアカウントを統合的に管理するためのサービスです。企業や大規模な組織で多数のAWSアカウントを運用する場合に、アカウント管理を効率化し、一貫したセキュリティ制御や請求管理を行うために使用されます。AWS Organizationsを使用することで、以下の利点があります:
- 一元管理: 複数のAWSアカウントを単一の管理者アカウントから管理できます。
- 組織単位(OU): アカウントをグループにまとめ、グループごとに異なるポリシーを適用することが可能です。
- サービスコントロールポリシー(SCP): 各アカウントまたはOUに対して、特定のアクションを許可または禁止するポリシーを適用できます。
2. サービスコントロールポリシー (SCP)
SCPはAWS Organizationsの強力なセキュリティ機能で、組織内のアカウントに対して、実行できる操作を制限します。SCPを使うと、リソースの作成や変更を管理するだけでなく、アカウントが実行できる操作を柔軟に制御できます。SCPはIAMポリシーとは異なり、IAMポリシーはリソースに対する権限を定義するのに対し、SCPはアカウント全体の許可/拒否を定義します。
例えば、リザーブドインスタンスの購入や変更を制限したい場合、SCPを使って
ec2:PurchaseReservedInstancesOfferingやec2:ModifyReservedInstancesのアクションを拒否するポリシーを適用することができます。SCPは組織単位(OU)単位で適用できるため、特定のビジネスユニットやグループに対して異なる制限を設けることが可能です。3. IAMポリシー
IAMポリシーは、AWSアカウント内で特定のリソースに対してアクセス制御を実施するために使用されます。IAMポリシーは、ユーザー、グループ、ロールに対して権限を定義します。リザーブドインスタンスの購入や変更を制限するためには、IAMポリシーを使って、特定のアクションを禁止することができます。
ただし、IAMポリシーは、組織全体で一貫した制御を行うためには不向きです。各アカウントごとに設定を行う必要があり、アカウント数が多い場合には管理が煩雑になります。
4. 中央集権的なリソース管理とセキュリティ制御のベストプラクティス
大規模なAWS環境では、中央集権的なリソース管理とセキュリティ制御を行うことが重要です。以下は、ベストプラクティスとして考慮すべき点です:
1. AWS Organizationsを使用してアカウントを管理する
- 複数アカウントをAWS Organizationsで管理し、中央で一貫したセキュリティポリシーを適用します。
- これにより、全アカウントに対して一貫した管理や監視が可能になります。
2. SCPを使用して組織全体のセキュリティポリシーを定義する
- SCPを使って、アカウントが実行できる操作を制限します。これにより、例えばリザーブドインスタンスの購入や変更など、特定の操作をビジネスユニット単位で制限することができます。
- SCPは組織全体に対してポリシーを適用するため、個々のアカウントで手動でポリシーを設定する必要がなく、管理負担が軽減されます。
3. IAMポリシーを適切に使い分ける
- IAMポリシーは、特定のユーザーやサービスに対して権限を細かく設定するために使用します。
- ただし、SCPのようにアカウント全体に適用されるポリシーとは異なり、IAMポリシーは個別のリソースに対してアクセス制御を行います。
4. AWS Configでの監査
- AWS Configを使用して、ポリシーの適用状況を監査し、コンプライアンスをチェックします。
- Configルールを作成することで、ポリシーが適切に適用されているかどうかを確認できます。
5. 組織のリソースとアカウント管理
大規模なAWS環境では、リソースの整合性とセキュリティを保つために、アカウントの構造とリソースの管理方法に関する戦略を練ることが重要です。例えば、複数のビジネスユニットやプロジェクトがある場合、それぞれのユニットに対して異なるセキュリティポリシーやアクセス制御を設定することが求められます。
まとめ
この問題に関連する本質的な知識は、複数のAWSアカウントを効率的かつセキュアに管理するための方法として、AWS Organizationsの利用、SCPの適用、IAMポリシーによる細かい制御、そしてAWS Configによる監査機能の活用です。これらを駆使することで、大規模なAWS環境におけるリソース管理やセキュリティ制御を効率的に行うことができます。
実践
略
一問道場
質問 #124
トピック 1
ある企業には数百のAWSアカウントがあります。この企業は最近、新しいリザーブドインスタンスを購入したり、既存のリザーブドインスタンスを変更したりするための中央集権的な内部プロセスを実装しました。このプロセスでは、リザーブドインスタンスを購入または変更したい各ビジネスユニットが、専任のチームにリクエストを送信する必要があります。それ以前は、ビジネスユニットが自分のAWSアカウント内でリザーブドインスタンスを直接購入または変更していました。
ソリューションアーキテクトは、最も安全な方法で新しいプロセスを強制する必要があります。
これらの要件を満たすために、ソリューションアーキテクトはどの組み合わせの手順を取るべきですか?(2つ選択してください)
A. すべてのAWSアカウントがAWS Organizationsの一部であり、すべての機能が有効になっていることを確認する。
B. AWS Configを使用して、
ec2:PurchaseReservedInstancesOffering アクションと ec2:ModifyReservedInstances アクションのアクセスを拒否するIAMポリシーの添付状況を報告する。C. 各AWSアカウントで、
ec2:PurchaseReservedInstancesOffering アクションと ec2:ModifyReservedInstances アクションを拒否するIAMポリシーを作成する。D. SCP(サービスコントロールポリシー)を作成し、
ec2:PurchaseReservedInstancesOffering アクションと ec2:ModifyReservedInstances アクションを拒否する。このSCPをAWS Organizationsの各OU(組織単位)に適用する。E. すべてのAWSアカウントが、統合請求機能を使用するAWS Organizationsの一部であることを確認する。
解説
この問題は、AWSアカウントの管理においてリザーブドインスタンスの購入・変更プロセスを中央集権化し、そのプロセスをセキュアに強制するための最適な方法を問うものです。企業は、特定のビジネスユニットが直接リザーブドインスタンスを購入したり変更したりすることを防ぎ、専任のチームを通じてこれらの操作を行わせたいという要件です。
以下は各選択肢の詳細な解説です。
A. すべてのAWSアカウントがAWS Organizationsの一部であり、すべての機能が有効になっていることを確認する。
- 解説: AWS Organizationsは、複数のAWSアカウントを一元管理するためのサービスであり、アカウントを組織にまとめることで、集中管理やセキュリティポリシーの適用が可能になります。このオプションは、組織内のすべてのアカウントに対してポリシーを適用し、セキュリティを強化するために必要です。すべての機能を有効にすることで、組織全体にサービスコントロールポリシー(SCP)を適用できます。
- 必要性: このオプションは、アカウント間で統一された管理とセキュリティ制御を確立するために非常に重要です。
B. AWS Configを使用して、ec2:PurchaseReservedInstancesOffering アクションと ec2:ModifyReservedInstances アクションのアクセスを拒否するIAMポリシーの添付状況を報告する。
- 解説: AWS Configはリソースの設定を追跡・監視するサービスですが、アクセス制御を実施するツールではありません。IAMポリシーを適用すること自体はConfigで実施できませんが、ポリシーが適用されているかどうかを追跡することは可能です。しかし、ポリシーを「適用する」という点では他の方法が有効です。したがって、このオプションはこの要件に対して十分ではありません。
- 不適切: AWS Configは監査目的には有効ですが、ポリシーの適用に直接関わるものではありません。
C. 各AWSアカウントで、ec2:PurchaseReservedInstancesOffering アクションと ec2:ModifyReservedInstances アクションを拒否するIAMポリシーを作成する。
- 解説: この方法では、各AWSアカウントで個別にIAMポリシーを設定し、リザーブドインスタンスの購入や変更を制限します。しかし、このアプローチは手動で設定しなければならず、複数アカウントに対して一貫性を持たせるのが難しく、管理負担が増加します。また、IAMポリシーは各アカウント単位での設定が必要なため、規模が大きくなると管理が煩雑になります。
- 不適切: この方法は非効率であり、大規模な環境では適切ではありません。
D. SCP(サービスコントロールポリシー)を作成し、ec2:PurchaseReservedInstancesOffering アクションと ec2:ModifyReservedInstances アクションを拒否する。このSCPをAWS Organizationsの各OU(組織単位)に適用する。
- 解説: AWS OrganizationsのSCPは、組織内の複数アカウントに対してセキュリティポリシーを一元的に適用できる強力なツールです。SCPを使用すると、組織内のすべてのアカウントに対して特定のアクションを拒否することができます。この方法は、中央集権的な管理を可能にし、アカウント数が多い環境でも一貫性を持ってセキュリティポリシーを適用できるため、非常に効果的です。
- 適切: この方法は、リザーブドインスタンスの購入・変更に関するプロセスを確実に管理し、ビジネスユニットが直接操作できないようにするための最良の選択肢です。
E. すべてのAWSアカウントが、統合請求機能を使用するAWS Organizationsの一部であることを確認する。
- 解説: 統合請求機能は、複数のAWSアカウントの請求を一元管理するための機能であり、リザーブドインスタンスの管理や購入には直接的な影響を与えません。これにより、請求の管理は簡素化されますが、リザーブドインスタンスの購入・変更の制御を行うためには他の方法が必要です。
- 不適切: 請求の管理には役立ちますが、リザーブドインスタンスの購入や変更を制御するための方法ではありません。
正しい選択肢: A と D
- A: AWS Organizationsでアカウントを一元管理することで、セキュリティポリシーを一貫して適用できます。
- D: SCPを使用して、組織全体でリザーブドインスタンスの購入・変更を禁止することで、プロセスを安全かつ確実に強制できます。
この方法で、リザーブドインスタンスの購入・変更に関する中央集権的な管理が可能となり、セキュリティを確保しながら、全アカウントに対して統一的なルールを適用できます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16ed7ae8-88e2-809c-a221-f75de3434c73
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
