セキュアなアーキテクチャの設計応用問題
企業がAWS Organizations使用しており、管理アカウント(Management Account)からService Control Policy(SCP)を使って、特定のメンバーアカウントに対して「us-east-1以外のリージョンでのEC2インスタンス起動を拒否する」ポリシーを適用しました。そのメンバーアカウントの管理者ユーザー(AdministratorAccess権限を持つIAMユーザー)がap-northeast-1でEC2インスタンスを起動しようとした場合、どうなりますか?
A.AdministratorAccess権限はSCPよりも優先されるため、EC2インスタンスの起動は成功する
✗ AdministratorAccessを含むIAMポリシーはSCPの制限を上書きできません。SCPが優先されます。
B.SCPはIAMポリシーに対して優先されるため、EC2インスタンスの起動は拒否される← 正解
✓ 正解です。SCPはアカウント内のすべてのIAMエンティティ(ルートユーザー含む)に適用され、IAMポリシーより優先されるためEC2起動は拒否されます。
C.SCPはルートユーザーには適用されないため、管理者IAMユーザーへの影響はなくEC2インスタンスの起動は成功する
✗ SCPはルートユーザーを含むすべてのプリンシパルに適用されます。ルートユーザー除外はSCPの仕様ではありません。
D.SCPの適用はメンバーアカウントの管理者が承認する必要があるため、承認しない限り拒否ルールは有効にならない
✗ SCPは管理アカウントが一方的に適用可能で、メンバーアカウント管理者の承認は不要です。