→特定リージョン:AWS Control Tower
→VPC非インターネット:AWS Organizationsのサービス制御ポリシー(SCPS)
・AWS Control Towerを使用してデータレジデンシーのガードレールを実装し、インターネットアクセスを拒否し、ap-northeast-3以外のすべてのAWSリージョンへのアクセスを拒否します
・AWS Organizationsを使用して、VPCのインターネットアクセスを防止するサービス制御ポリシー(SCPS)を設定します。ap-northeast-3以外のすべてのAWSリージョンへのアクセスを拒否します
この選択肢が正解の理由は以下の通りです。
まず、AWS Control Towerは、組織全体にわたるAWS環境のセットアップとガバナンスを自動化するためのサービスです。データレジデンシーのガードレールを設定することによって、データが存続する場所を制限する規制を満たすことができます。
また、インターネットアクセスを拒否するガードレールを設定することで、VPCがインターネットに接続するのを防げます。
次に、AWS OrganizationsはAWSアカウント全体を管理するためのサービスで、サービス制御ポリシー(SCPs)を設定することによって特定のAWSリージョンへのアクセスを制御することができます。そのため、特定のリージョンのみを使用する企業の要件に対応可能です。
以上の理由から、AWS Control TowerとAWS Organizationsの使用が要件を満たす最適な解法となります。
コメント