AWS SAA　問題393-396：AWS Organizations

【正解】
A) アカウント全体のセキュリティ管理
C) IAM ポリシーのレプリケーション

【解説】
複数のAWSアカウントを管理する際に生じる一般的な課題として、以下の2つが挙げられます。

A) アカウント全体のセキュリティ管理
異なるアカウント間で一貫したセキュリティ基準を確保し、アクセス制御やアクセス許可の一元管理を行うことが課題です。各アカウントのIAM（Identity and Access Management）ポリシーを一貫して適用することや、セキュリティベストプラクティスを確保することが求められます。

C) IAM ポリシーのレプリケーション
複数のアカウントを管理する場合、セキュリティおよびアクセス許可のポリシーを異なるアカウント間で一貫して適用する必要があります。IAMポリシーを手動で複製する必要がある場合、手間とヒューマンエラーが発生する可能性があります。一貫性を保つために、ポリシーのレプリケーションに対する対策が求められます。

【正解】
セキュリティポリシーの適用とアカウントの管理

【解説】
AWS Organizationsは、セキュリティポリシーの適用とAWSアカウントの管理のために設計されたサービスです。AWSアカウントを一元的に管理し、アカウント間で一貫したセキュリティポリシーやアクセス制御を確保するために使用されます。組織内のAWSアカウントを効率的にグループ化し、それぞれに適切なポリシーやアクセス許可を適用することで、セキュリティの向上とアカウント管理の簡素化を実現します。

【正解】
A) AWS Organizations

【解説】：
AWS Organizationsは、複数のAWSアカウント間で一貫したセキュリティポリシーやアクセス制御を確保するために設計されたサービスです。IAMポリシーを組織内のすべてのアカウントに適用し、アクセス許可を一元的に管理するために使用されます。

【正解】
C) SCP はアカウント内の特定のサービスへのアクセスを制御する。

【解説】
サービスコントロールポリシー (SCP) は、組織内のアカウントに対して特定のサービスへのアクセスを制御するためのポリシーです。正しいSCPが適用されると、そのSCPに含まれるアクセス許可に基づいて、ユーザーが特定のAWSサービスへのアクセスを制限できます。

A) は誤りです。SCPは上位のアカウントで定義されるため、メンバーアカウント内のIAMユーザーはSCPを上書きすることはできません。

B) は誤りです。SCPはアカウント全体で適用されるアクセス許可を制御するものであり、個々のアカウントで定義されているIAMポリシーとは競合することがあります。

D) は誤りです。SCPはルートだけでなく、組織単位（OU）やアカウントにも適用できます。SCPが適用されたルートまたはOUは、その下にあるすべてのアカウントに影響を及ぼします。