Q25 — AWS DOP-C02 第1章
第 25/100 問 | ← 第1章
DevOpsエンジニアは、AWS Trusted AdvisorがパブリックソースコードリポジトリでIAMアクセスキーを検出した場合に自動応答を実装したいと考えています。この自動応答は、暴露されたアクセスキーを削除し、セキュリティチームに通知する必要があります。
- A. IAMアクセスキーを削除するAWS Lambda関数を作成します。AWS CloudTrailログをAmazon CloudWatch Logsにストリーミングするように設定します。AWS_RISK_CREDENTIALS_EXPOSEDイベントに対してCloudWatch Logsのメトリクスフィルタを作成し、2つのアクションを設定します。まずLambda関数を実行し、次にAmazon Simple Notification Service(Amazon SNS)を使用してセキュリティチームに通知します。
- B. IAMアクセスキーを削除するAWS Lambda関数を作成します。AWS Configルールを「aws.trustedadvisor」と「Exposed Access Keys」のステータス変更に対して作成します。まずLambda関数を実行し、次にAmazon Simple Notification Service(Amazon SNS)を使用してセキュリティチームに通知します。
- C. IAMアクセスキーを削除するAWS Lambda関数を作成し、その後Amazon Simple Notification Service(Amazon SNS)でセキュリティチームに通知します。AWS_RISK_CREDENTIALS_EXPOSEDイベントに対してAWS Personal Health Dashboardルールを作成し、そのターゲットとしてLambda関数のARNを設定します。
- D. IAMアクセスキーを削除するAWS Lambda関数を作成します。Amazon EventBridge(Amazon CloudWatch Events)ルールを「aws.trustedadvisor」イベントソースと「Exposed Access Keys」ステータスで作成します。EventBridge(CloudWatch Events)ルールのターゲットとしてLambda関数と、セキュリティチームに通知するAmazon Simple Notification Service(Amazon SNS)トピックを設定します。 ✓
正解: D. IAMアクセスキーを削除するAWS Lambda関数を作成します。Amazon EventBridge(Amazon CloudWatch Events)ルールを「aws.trustedadvisor」イベントソースと「Exposed Access Keys」ステータスで作成します。EventBridge(CloudWatch Events)ルールのターゲットとしてLambda関数と、セキュリティチームに通知するAmazon Simple Notification Service(Amazon SNS)トピックを設定します。
解説
AWS Trusted Advisorは、パブリックソースコードリポジトリ内のIAMアクセスキーを検出し、自動応答をトリガーできます。DevOpsエンジニアが要求する自動応答(暴露されたアクセスキーの削除およびセキュリティチームへの通知)を満たすには、Trusted Advisorの検出イベントに応答できるソリューションが必要です。