→aws PrincipalOrgIDグローバル条件キー
- aws:PrincipalOrgID:S3バケットポリシーに使用するグローバル条件キーで、AWS Organizationsの組織内のアカウントからのアクセスを制限します。
- 組織単位(OU):AWS Organizations内で複数のアカウントを一括で管理するためのエンティティです。
- AWS CloudTrail:AWSのユーザー活動とAPI使用状況を監査するためのサービスです。
- aws:PrincipalTag:S3バケットポリシーに使用するグローバル条件キーで、特定のタグが付けられたIAMユーザーからのアクセスを制限します。
・組織IDを参照するaws PrincipalOrgIDグローバル条件キーをS3バケットポリシーに追加します
この選択肢が正解の理由は以下の通りです。
AWS S3バケットポリシーに、aws PrincipalOrgIDグローバル条件キーを利用することで、AWS Organizationsの組織IDでアクセス制限を設定することが可能です。これにより、組織内のAWSアカウントのみが指定されたS3バケットに対してアクセスできるようになります。そのため、各アカウントごとにバケットポリシーを設定する代わりに、一元的に組織全体に対するアクセス制御を行うことができるので運用上のオーバーヘッドを最小限に抑えることが可能です。
したがって、この手法は、特定のAWS Organizations内のアカウントのユーザーのみにS3バケットへのアクセスを制限するのに適しています。
コメント