ある企業は、AWS Organizations を使用して複数の AWS アカウントを管理しています。社内の各部門にはそれぞれ独自の AWS アカウントがあります。セキュリティチームは、すべてのアカウントにセキュリティのベストプラクティスを適用するために、一元的なガバナンスと制御を実装する必要があります。チームは、各アカウントが利用できる AWS サービスを制御したいと考えています。また、IP アドレスまたは地域に基づいて機密リソースへのアクセスを制限する必要があります。ルートユーザーは、すべてのアカウントで多要素認証 (MFA) によって保護される必要があります。
オプション:
A. AWS Identity and Access Management (IAM) を使用して、各アカウントの IAM ユーザーと IAM ロールを管理します。各アカウントのルートユーザーに MFA を実装します。AWS マネージドプレフィックスリストを使用して、サービス制限を適用します。
B. AWS Control Tower を使用してマルチアカウント環境を構築します。サービスコントロールポリシー (SCP) を使用して、AWS Organizations でサービス制限を適用します。すべてのアカウントのルートユーザーに MFA を設定します。
C. AWS Systems Manager を使用して、複数のアカウントにサービス制限を適用します。IAM ポリシーを使用して、すべてのアカウントのルートユーザーに MFA を適用します。
D. AWS IAM Identity Center を使用してユーザーアクセスを管理し、各アカウントのアクセス許可の境界を使用してサービスの制限を適用します。
正解:B
解説:AWS Organizationsは、会社の「親アカウント」を作り、そこから複数アカウントをまとめて管理する仕組み。
部門ごとのアカウントを「子アカウント」として一元管理できる。たとえば「営業部」「開発部」「経理部」などを全部まとめられる。
他の選択肢がダメな理由
A:IAMはアカウントごとの管理しかできないので「一元管理」ができない。
C:Systems Manager は運用の自動化ツールで、サービス制御やMFA強制はできない。
D:IAM Identity Center はログインや権限管理はできるけど、サービス制御やルートユーザーMFAはできない。