→ルート組織単位
・ルート組織単位でサービス制御ポリシーを作成し、サービスまたはアクションへのアクセスを拒否します
この選択肢が正解の理由は以下の通りです。
AWS Organizationsを使用すると、複数のAWSアカウントを集中管理できます。このケースでは、全てのAWSアカウントで特定のサービスやアクションへのアクセスを制限したいと考えています。これを実現するために、AWS Organizationsではサービス制御ポリシー(SCP)という機能を提供しています。これを利用すると、組織全体または特定の組織単位(OU)に対して、サービスへのアクセス許可を設定できます。ポリシーをルート組織単位で設定すると、このポリシーは全てのアカウントに適用され、スケーラブルな制御が可能になります。
また、この機能はAWSアカウントの所有者が個々のアカウントで自由にポリシーを変更できないようにするため、一元的な権限管理も可能になります。
選択肢:各アカウントにクロスアカウントロールを作成し、サービスやアクションへのアクセスを拒否します
この選択肢が正しくない理由は以下の通りです。
各アカウントにクロスアカウントロールを作成すると、管理が複雑になり、スケーラビリティが低下します。
また、単一のポイントから権限管理を行うことが難しくなるため、問題の要件を満たしません。
それに対し、正解の選択肢はルート組織単位で一元管理が可能で、スケーラビリティを維持し、一元的に権限を管理する要件を満たしています。
コメント