236-AWS SAP AWS 「理論・実践・一問道場」拒否ポリシー

理論

  • 明示的な「拒否」ポリシーが設定されていない場合、デフォルトでは許可される。
  • もしSCPで**「拒否」**が設定されていれば、その拒否は組織全体に適用され、下位アカウントやリソースでもその操作は行えません。
 
もし 管理アカウント(ルートアカウント) で「全て拒否」のSCPを設定すると、その拒否は組織全体に適用されます。下位のメンバーアカウントやOUで許可のポリシーを設定しても、拒否ポリシーが優先されて、その操作は実行できません。

例:

  1. ルートアカウント に「全て拒否」のSCPを設定 → すべての操作が拒否されます。
  1. メンバーアカウント に「特定の操作を許可」のSCPを設定 → ルートアカウントの拒否が優先されるため、その操作は実行できません。
つまり、SCPで「拒否」を設定すると、それが優先され、下位での「許可」は無効になります。
 
AWS Organizationsにおけるタグ管理とポリシー適用の基本的な知識:
  1. AWS Organizations:
      • 複数のAWSアカウントを一元管理するサービス。
      • 組織単位(OU)を使用してアカウントを階層的にグループ化し、各OUにポリシーを適用できる。
  1. タグポリシー:
      • AWSリソースにタグを標準化して適用するためのルール。
      • タグの値や名前を指定して、リソース作成時にタグを必須にしたり、特定の値を要求することができる。
  1. サービス制御ポリシー(SCP):
      • AWS Organizations内でアカウントに適用するアクセス制御ポリシー。
      • リソース作成時に必要なタグが欠けている場合の制限を加えることができる。
  1. リソース作成時のタグ要求:
      • リソース作成時にタグを必須にしたり、特定のタグ値を要求する場合、タグポリシーとSCPを組み合わせて設定する。
      • OUごとに異なるタグ値を要求する場合、各OUに対して異なるタグポリシーを適用する。
  1. 最適なアプローチ:
      • タグポリシーで各OUに対するタグの要件を定義し、SCPでタグなしでリソースを作成できないように制限することが最も効果的な方法です。
 
  • 拒否ポリシーは常に許可ポリシーより優先されます。もしある操作を確実に禁止したい場合は、明示的に拒否するポリシーを使うことが重要です。
  • つまり、AWSでは「拒否」が「許可」よりも強い力を持っているということです。
 

実践

一問道場

質問 #236
トピック 1
ある会社がAWS Organizationsの構成を設計しています。この会社は、組織全体でタグを適用するプロセスを標準化したいと考えています。新しいリソースを作成する際に、特定の値を持つタグが必要になります。会社の各OU(組織単位)にはユニークなタグ値があります。
どのソリューションがこれらの要件を満たしますか?
A. SCP(サービス制御ポリシー)を使用して、必要なタグがないリソースの作成を拒否します。会社が各OUに割り当てたタグ値を含むタグポリシーを作成し、そのタグポリシーをOUに適用します。
B. SCPを使用して、必要なタグがないリソースの作成を拒否します。会社が各OUに割り当てたタグ値を含むタグポリシーを作成し、そのタグポリシーを組織の管理アカウントに適用します。
C. SCPを使用して、リソースに必要なタグがある場合のみ作成を許可します。会社が各OUに割り当てたタグ値を含むタグポリシーを作成し、そのタグポリシーをOUに適用します。
D. SCPを使用して、必要なタグがないリソースの作成を拒否します。タグのリストを定義し、そのSCPをOUに適用します。

解説

この問題では、AWS Organizationsを使って、組織内でリソース作成時に特定のタグを適用するプロセスを標準化する方法を尋ねています。目標は、ユーザーが新しいリソースを作成する際に、リソースに必ず特定のタグが付与されることを保証することです。さらに、各組織単位(OU)ごとに異なるタグの値を設定する必要があります。
選択肢の分析:
  • A: SCPを使用してタグがないリソースの作成を拒否し、タグポリシーでOUごとに異なるタグの値を定義します。このタグポリシーはOUに適用されるため、要求に合っています。
  • B: SCPでリソースの作成時にタグを要求するという点は正しいですが、タグポリシーが組織の管理アカウントに適用されるため、OUごとに異なるタグ値を管理することができません。管理アカウントに適用する方法は不適切です。
  • C: SCPでリソース作成時にタグが必要だと許可する方法は誤りです。タグがないリソースを作成することを拒否する必要があり、許可するのは逆効果です。また、タグポリシーがOUに適用されるのは正しいですが、SCPの設定が間違っています。
  • D: SCPでタグがないリソースを作成することを拒否し、タグポリシーでタグの一覧を定義するのは部分的に正しいですが、タグポリシーがOUごとに異なるタグ値を設定するという要件を満たしていません。タグの一覧を指定するだけでは十分ではありません。
正解: A
  • SCPを使用してタグが付いていないリソースの作成を拒否し、タグポリシーを使用して各OUに適切なタグ値を要求することが最も効果的であり、要件に最適です。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
237-AWS SAP AWS 「理論・実践・一問道場」MQTTプロトコル235-AWS SAP AWS 「理論・実践・一問道場」EFA
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%