Q26 — AWS DEA-C01 第1章

第 26/100 問 | ← 第1章

ある企業は、社内ワークロードを実行する本番AWSアカウントを保有しています。企業のセキュリティチームは、本番AWSアカウントからのセキュリティログを保存・分析するためのセキュリティ専用AWSアカウントを作成しました。本番AWSアカウントのセキュリティログはAmazon CloudWatch Logsに保存されています。 企業は、Amazon Kinesis Data Streamsを用いてセキュリティログをセキュリティ専用AWSアカウントに配信する必要があります。

正解: B. セキュリティ専用AWSアカウントに宛先データストリームを作成します。CloudWatch Logsがストリームにデータを書き込む権限を付与するIAMロールおよび信頼ポリシーを作成します。本番AWSアカウントでサブスクリプションフィルターを作成します。

解説

AWSサービスの統合およびクロスアカウントアクセス設定に関する問題です。Amazon CloudWatch LogsとKinesis Data Streamsのクロスアカウントデータ転送のシナリオにおいて、正しい方法は、宛先データストリームをセキュリティ専用アカウントに作成し、本番アカウントのCloudWatch Logsサービスにそのストリームへの書き込み権限を付与することです。AWSアーキテクチャのベストプラクティスによると、クロスアカウントの場合は宛先アカウントにリソースを作成し、信頼ポリシーを設定する必要があります。選択肢Aは、データストリームが本番アカウントに作成されているため誤りです。選択肢Cは方向が逆で、データストリームが本番アカウントに残っているため誤りです。選択肢BはAWSドキュメントのガイドラインに従っており、セキュリティ専用アカウントにデータストリームを作成し、IAMロールと信頼ポリシーを用いて本番アカウントのCloudWatch Logsがデータを書き込めるようにし、本番アカウントでサブスクリプションフィルターを設定するという正しい手順です。