Organizations

あるAWS Organizationsには、複数のメンバーアカウントが含まれるOUがあります。
同社は、特定のAmazon EC2インスタンスタイプのみ起動する権限を制限する必要があります。
どのようにこのポリシーをアカウント全体に効率的に適用することができますか？

ある企業は、AWSを 3 アカウントで運用しています。現在、各部署で AWS への請求処理を別々に行っており、会社全体としてコスト管理に問題を抱えています。この問題を解決するため、AWS Organizations を利用し、既存の 3 AWS アカウントに一括請求の設定を検討しています。AWS Organizations を利用した場合のコストメリットを選択してください。

あるセキュリティチームが、チームのすべてのAWSアカウントで、特定のサービスまたはアクションへのアクセスを制限したいと考えています。
すべてのアカウントは、AWS Organizationsの大規模な組織に属しています。
ソリューションはスケーラブルでなければならず、許可を維持することができる単一のポイントがなければなりません。

これを達成するために、ソリューションアーキテクトは何をすべきですか？

AWS Organizationsを利用したOU単位でのアクセス権限管理を実施しています。
該当のOUに対しては、FullAccess権限が設定されていますが、DynamoDBへの全権限は拒否する設定を追加しました。この場合、OU内のメンバーアカウントの権限状況を選択してください。

ある企業が1つの事業部門を売却したため、その事業部門が所有するAWSアカウントを別のAWS Organizationsに移動する必要があります。

これはどのように達成することができますか？

Z社がAWSで保有する一つの管理（親）アカウントに開発用とテスト用の二つのメンバー（子）アカウントが紐づいており、管理アカウントへの一括請求設定を行っています。新規開発にあたり、開発部門ではリザーブドインスタンスを二つ使用しており、テストチームは3つのインスタンスの使用を計画しています。この時管理アカウントが購入していたリザーブドインスタンスが4つだった場合、テストチームが使用できるインスタンスの組み合わせとして正しいものを選択してください。

あるソリューションアーキテクトが複数のAWSアカウントを持つAWS Organizationsを作成しました。
セキュリティポリシーでは、特定APIアクションの使用はすべてのアカウントで制限されている必要があり、集中的に制御する方法が求められています。

要件を達成するための最も簡単な方法は何ですか？

ある会社では、開発チームごとに個別のAWSアカウントを作成しています。
同社は、アカウントのプロビジョニングにAWS Organizationsを使用します。

ソリューションアーキテクトは、すべてのAWSアカウントからのすべてのイベントが記録されるように、AWS CloudTrailを使用した監査を設計する必要があります。
開発チームがルート権限でAWS CloudTrailの設定を変更したり、S3バケット内のログファイルにアクセスすることは禁止にしなければなりません。
この監査のソリューションとセキュリティコントロールは、新規作成する全ての開発チームアカウントに自動的に適用されなければなりません。

ソリューションアーキテクトはどのアクションを取るべきですか？

ある企業では、開発者が開発、テスト、仮本番環境に使用する複数のAWSアカウントを持っています。
この会社は十分にAmazon EC2インスタンスが活用できておらず、多額の請求があります。

あなたはすべてのアカウントでハイスペックなEC2インスタンスを対象に、起動する権限を制限するよう指示がありました。

この要件を最小限の運用コストで満たすにはどうすればよいか。

企業の各部門が使用するAWSリソースのコストを監視する必要があります。各部門は、他の部門のリソースとを分けて管理したいと考えています。ITガバナンスとコストの監視を行える仕組みを維持しながら、この要件を満たす最適なアーキテクトを次の中から2つ選択してください。

全てのAWSアカウントはAWS Organizations の大規模な組織に属しています。
特定のチームのAWSアカウントに特定のサービスやアクションへのアクセスを制限する必要があります。
これらの要件を満たす、ソリューションを選択してください。