→Control Tower + アカウントドリフト通知
・AWS Control Towerを使用してAWSアカウントをプロビジョニングします。アカウントドリフト通知を使用して、OU階層の変更を特定します
この選択肢が正解の理由は以下の通りです。
まず、AWS Control TowerはAWSマルチアカウントソリューションを管理するためのサービスで、アカウントのプロビジョニングや、リソースのセットアップなども手助けしてくれます。
また、Control Towerには「Guardrails」の機能があり、これはマルチアカウント環境のガバナンスを評価・監視し、設定ドリフトを防ぐものです。
アカウントドリフト通知とは、このGuardrailsの機能を利用したもので、アカウントの設定が規定から外れた場合に通知を送るものです。
これを利用することで、OU階層の変更があった際にそれを識別し、運用チームに通知することが可能になります。これが最小限の運用オーバーヘッドで要件を満たすために最適な選択肢となります。
選択肢:AWS Control Towerを使用してAWSアカウントをプロビジョニングします。AWS Configの集約ルールを使用して、OU階層の変更を特定します
この選択肢が正しくない理由は以下の通りです。
AWS Configの集約ルールは、リソース設定とコンプライアンスデータを表示するためのものであり、OrganizationsのOU階層の変更を特定するために使用することはできません。対して正解のAWS Control Towerのアカウントドリフト通知は、想定外の設定変更を検出し通知するための機能であり、要件を満たすために適切です。
コメント