T1-Q02: SCP最適化はTrusted AdvisorではなくIAM Access Analyzerで見る
SCPのベストプラクティス準拠を問われた問題で、Trusted Advisorを選んだ誤答をIAM Access Analyzerのポリシー検証まで分解する。
AWS SCS-C03 IAM SCP Access Analyzer
対象誤答: T1 Q02 SCP ACCESS ANALYZER
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | AWS Trusted Advisor のチェックを確認し、組織内のすべてのアカウントのセキュリティ状態をレビューする。 |
| 正答 | AWS IAM Access Analyzer を使用してポリシーを分析し、ポリシーの検証チェック結果を確認する。 |
| 誤答の引力 | 「ベストプラクティス」「セキュリティ状態」という語に引っ張られて、アカウント全体の健全性チェックを選んでいる。ただし問題の主語はアカウントではなくSCPというポリシー文書。 |
| 判断軸 | SCP/IAM/リソースポリシーの文法、危険なワイルドカード、非推奨構文、意図しない権限拡大を問うならAccess Analyzer。アカウントのコスト、サービス制限、一般的なセキュリティ推奨ならTrusted Advisor。 |
この問題の芯
T1-Q02 は「AWS Organizations を使っている」「SCP を最適化したい」「SCP が AWS のベストプラクティスに準拠していることを確認したい」という問題だった。あなたの誤答は Trusted Advisor。正答は IAM Access Analyzer のポリシー検証。
ここで見抜くべきだったのは、問題が「組織全体のセキュリティ状態」ではなく、SCP というJSONポリシーの品質検査を問うている点。
誤答のどこが惜しいか
Trusted Advisor はセキュリティチェックを持つので、選択肢として強く見える。しかし Trusted Advisor の守備範囲は、アカウントの設定、コスト、サービス制限、耐障害性などの広い健全性チェック。SCP の構文、危険な条件、ベストプラクティス違反を細かく検証するツールではない。
IAM Access Analyzer のポリシー検証は、IAM ポリシーや SCP を AWS のポリシー文法とベストプラクティスに照らしてチェックする。だから「SCP」「ポリシー」「検証チェック」「ベストプラクティス」が同時に出た瞬間に Access Analyzer に寄せる。
問題文をこう切る
| 問題文の語 | 判断 |
|---|---|
| SCPを最適化 | ポリシー文書の検査 |
| ベストプラクティス準拠 | Access Analyzerのpolicy validation |
| すべてのアカウントの状態 | Trusted Advisorっぽいが、この問題では主語ではない |
| 監査レポート | Audit Managerの文脈 |
| EC2/コンテナ脆弱性 | Inspectorの文脈 |
次回の秒殺ルール
SCPの問題で「チェック」「検証」「ベストプラクティス」「文法」「警告」が見えたら IAM Access Analyzer。
Trusted Advisor は「アカウントの一般的な改善提案」であり、SCPそのものを直すレンチではない。
仕上げの一問一答
- この問題の主語は何か: Organizations
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。