AWS認定資格 無料問題集

解答

正しい解答：Ａ. AWS Organizations

　URL を直接入力して「解答・解説」画面を表示した場合、何を選択・解答したかを特定できないため、解答の正誤判定ができません。必要に応じて「同じ問題に再挑戦」ボタンをクリックして、この問題に再チャレンジしてみてください。

徹底解説

　新規に作成されるAWSアカウントに対して、組織のポリシーに反するサービスの利用を禁止する統一的なガバナンスを確立するために、最も適したサービスは、AWS Organizations です。AWS Organizations は、複数のAWSアカウントを統合して一元的に管理するためのアカウント管理サービスです。ひとつのAWSアカウントをマスターアカウントと設定して、その他のアカウントをメンバーアカウントとして管理することによって、個々のメンバーアカウントに対して、様々なポリシーを適用してアクセスを制御することが可能です。具体的には、サービスコントロールポリシー（SCP：Service Control Policy）を利用することで、AWSアカウントに必要なAWSサービスへのアクセスのみを許可する権限範囲を設定することができます。

　その他の選択肢は、組織のポリシーに反するサービスの利用を禁止する統一的なガバナンスを確立したいとの要件には対応できません。AWS IAM は安全にAWS操作を実施するための認証・認可の仕組みを提供するマネージド型のサービスであり、主な構成要素として、IAMユーザー、IAMグループ、IAMポリシー、IAMロールがあります。これはアカウント内のユーザーやロールに対する権限管理を行う仕組みであり、複数のAWSアカウントを横断して統一的な制御を行うものではありません。AWS Security Hub は、AWSのセキュリティ設定が 「ベスト・プラクティスから逸脱していないか」 をチェックして、アラートの集約、整理および優先順位付けを自動化するクラウド・セキュリティ管理サービスです。セキュリティ状態の可視化や評価を目的としており、AWSサービスの利用可否を組織のポリシーに従って制御する機能はありません。
　AWS RAM（Resource Access Manager）は、AWSの異なるアカウントの間や AWS Organizations 内の組織単位（OU）間でリソースを安全に共有できるサービスです。複数のアカウントを運用している場合、AWS RAM を使用することによって、IAMロールやIAMユーザーとの間で容易にリソースを共有することができます。しかしながら、組織のポリシーに基づいてサービスの利用可否を制御することはできません。

ちなみに...
　その他、AWS Organizations の Consolidated Billing（一括請求）機能を使用して、複数のAWSアカウント、またはAISPL（Amazon Internet Services Private Limited）アカウントの請求と支払いを統合することができます。これによって、すべてのアカウントに単一の支払い方法を利用して請求を簡素化することができます。AISPLは、インドでAWSサービスの販売者として機能する現地法人です。アカウント作成プロセスの中でインドの住所を入力した場合、代わりにAISPLアカウントを作成するように自動的にリダイレクトされます。