367-AWS SAP AWS 「理論・実践・一問道場」クロスアカウントアクセス
理論
1. AWS Organizationsの基本
AWS Organizationsは、複数のAWSアカウントを中央で管理できるサービスです。これにより、アカウントの作成、管理、ポリシー適用、請求管理などを一元化することができます。主な機能には次のようなものがあります:
- アカウント管理:複数のAWSアカウントを一元管理。
- 組織単位 (OU):アカウントを論理的にグループ化し、管理。
- サービスコントロールポリシー (SCP):アカウントや組織単位に対するアクセス制限を設定。
- 中央管理の請求:組織内での一元的な請求書管理。
2. OrganizationAccountAccessRole (組織アカウントアクセスロール)
- AWS Organizationsを使用してメンバーアカウントにアクセスするためには、各メンバーアカウントに**
OrganizationAccountAccessRole*というIAMロールを作成する必要があります。このロールは、管理アカウントに対してメンバーアカウントのリソースにアクセスできる権限を与えるために使用されます。
- このロールは、デフォルトでAdministratorAccessの権限を持ち、管理アカウントはこのロールを引き受けてメンバーアカウントを管理します。
3. IAMロールとクロスアカウントアクセス
- クロスアカウントアクセスとは、あるAWSアカウント(管理アカウント)が、別のAWSアカウント(メンバーアカウント)のリソースにアクセスするための仕組みです。このアクセスは通常、IAMロールを使用して設定します。
- 管理アカウントは、IAMロールを引き受けてメンバーアカウント内で操作を実行することができます。
OrganizationAccountAccessRoleは、特にAWS Organizations内でこれを効率的に設定するための特別なロールです。
4. AdministratorAccessポリシー
AdministratorAccessは、AWSのすべてのサービスに対して完全なアクセス権を持つポリシーです。このポリシーは、ユーザーやロールに付与することで、リソースの作成や削除、設定変更など、管理者としての完全な権限を与えます。
OrganizationAccountAccessRoleは、管理者権限を持つロールとしてAWS Organizations内で使用されるため、通常、AdministratorAccessを含んでいます。
5. アクセスの制限とセキュリティ
- *サービスコントロールポリシー (SCP)**は、AWS Organizations内のアカウントに対するアクセス権限を制限するために使用されます。SCPはアカウントが実行できるアクションを制限しますが、IAMロールによる具体的なアクセス権の付与とは異なり、組織全体のポリシーとして機能します。
結論
AWS OrganizationsとIAMロールを利用することで、複数のAWSアカウントを効率的に管理でき、管理アカウントに必要なアクセス権限を付与できます。
OrganizationAccountAccessRoleは、メンバーアカウントにアクセスするためのロールとして特に重要であり、これを使用することでセキュアかつ効率的にアカウント間のアクセスを管理できます。実践
略
一問道場
ある大手給与会社が最近、小規模なスタッフ派遣会社と統合しました。統合された会社は、複数の事業部門があり、それぞれが独自のAWSアカウントを持っています。
ソリューションアーキテクトは、すべてのAWSアカウントに対して請求とアクセスポリシーを中央で管理できるようにする必要があります。ソリューションアーキテクトは、中央の管理アカウントからすべてのメンバーアカウントに招待状を送信してAWS Organizationsを設定しました。
次に、ソリューションアーキテクトがこの要件を満たすために行うべきことは何ですか?
A. 各メンバーアカウントにOrganizationAccountAccess IAMグループを作成し、各管理者に必要なIAMロールを含める。
B. 各メンバーアカウントにOrganizationAccountAccessPolicy IAMポリシーを作成し、クロスアカウントアクセスを使用してメンバーアカウントを管理アカウントに接続する。
C. 各メンバーアカウントにOrganizationAccountAccessRole IAMロールを作成し、管理アカウントにそのIAMロールを引き受ける権限を付与する。
D. 管理アカウントにOrganizationAccountAccessRole IAMロールを作成し、そのIAMロールにAdministratorAccess AWS管理ポリシーをアタッチし、各メンバーアカウントの管理者にそのIAMロールを割り当てる。
解説
この問題は、AWS Organizationsを使用して複数のAWSアカウントを管理し、中央で請求とアクセスのポリシーを管理する方法に関するものです。具体的には、管理アカウントからメンバーアカウントに対してアクセスを設定する方法を問われています。
各選択肢について解説します:
A. 各メンバーアカウントにOrganizationAccountAccess IAMグループを作成し、各管理者に必要なIAMロールを含める
- この選択肢は正しくありません。IAMグループはユーザーをまとめて管理するためのものですが、AWS Organizationsの設定には関係がありません。特に、メンバーアカウントと管理アカウントを接続するためにはIAMロールを使用する必要があります。
B. 各メンバーアカウントにOrganizationAccountAccessPolicy IAMポリシーを作成し、クロスアカウントアクセスを使用してメンバーアカウントを管理アカウントに接続する
- これは不正解です。AWS Organizationsの管理には、ポリシーではなくIAMロールを使用して、管理アカウントがメンバーアカウントのリソースにアクセスできるようにする必要があります。また、クロスアカウントアクセスは特定のケースで使用しますが、AWS Organizationsの機能としてはロールの作成が適切です。
C. 各メンバーアカウントにOrganizationAccountAccessRole IAMロールを作成し、管理アカウントにそのIAMロールを引き受ける権限を付与する
- この選択肢が正解です。AWS Organizationsでは、管理アカウントがメンバーアカウントに対してアクセスを制御するために、OrganizationAccountAccessRole というIAMロールを作成します。このロールを使用すると、管理アカウントはメンバーアカウントに対する管理権限を持ち、中央でアカウントを管理できます。
D. 管理アカウントにOrganizationAccountAccessRole IAMロールを作成し、そのIAMロールにAdministratorAccess AWS管理ポリシーをアタッチし、各メンバーアカウントの管理者にそのIAMロールを割り当てる
- この選択肢も不正解です。管理アカウントにIAMロールを作成するのではなく、メンバーアカウントにロールを作成し、管理アカウントがそのロールを引き受ける形にする必要があります。管理アカウントにはロールを割り当てるのではなく、他のアカウントのロールを引き受ける権限を与える形が正しいです。
結論
正解は C です。各メンバーアカウントに
OrganizationAccountAccessRole IAMロールを作成し、管理アカウントにそのロールを引き受ける権限を付与することで、中央でアカウントの管理と請求を行うことができます。- Author:minami
- URL:https://www.minami.ac.cn/private-license/178d7ae8-88e2-8048-b856-c8752be4552d
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
