Q69 — AWS DOP-C02 第1章
第 69/100 問 | ← 第1章
AWS Organizations内に複数のアカウントを持つ企業があります。組織内のいずれかのアカウントがAmazon S3バケットの「パブリックアクセスブロック」機能を無効化した場合、同社のSecOpsチームはAmazon Simple Notification Service(Amazon SNS)による通知を受ける必要があります。DevOpsエンジニアは、既存のAWSアカウントの運用に影響を与えない形でこの要件を実現しなければなりません。また、実装は組織内の個別のメンバーアカウントが通知を無効化できないことを保証しなければなりません。
- A. 委任されたAmazon GuardDuty管理者アカウントとして1つのアカウントを指定します。組織内のすべてのアカウントでGuardDutyを有効化します。GuardDuty管理者アカウント内でSNSトピックを作成し、SecOpsチームのメールアドレスをそのトピックへサブスクライブします。同一アカウント内で、GuardDutyの検出イベントを対象としたAmazon EventBridgeルールを作成し、SNSトピックをターゲットとして設定します。
- B. SNSトピックを作成し、SecOpsチームのメールアドレスをそのトピックへサブスクライブするAWS CloudFormationテンプレートを作成します。テンプレート内に、CloudTrailアクティビティs3:PutBucketPublicAccessBlockを対象としたEventBridgeルールを含めます。CloudFormationスタックセットを用いて、このスタックを組織内のすべての顧客アカウントへ展開します。
- C. 組織全体でAWS Configを有効化します。委任された管理者アカウント内でSNSトピックを作成し、SecOpsチームのメールアドレスをそのトピックへサブスクライブします。各アカウントでS3-bucket-level-public-access-prohibited AWS Configマネージドルールを適用するコンプライアンスパッケージをデプロイし、AWS Systems Managerドキュメントを用いて非準拠イベントをSNSトピックへ発行してSecOpsチームへ通知します。 ✓
- D. 組織全体でAmazon Inspectorを有効化します。Amazon Inspector委任管理者アカウント内でSNSトピックを作成し、SecOpsチームのメールアドレスをそのトピックへサブスクライブします。同一アカウント内で、S3バケットのパブリックネットワーク露出を対象としたEventBridgeルールを作成し、SNSトピックへイベントを発行してSecOpsチームへ通知します。
正解: C. 組織全体でAWS Configを有効化します。委任された管理者アカウント内でSNSトピックを作成し、SecOpsチームのメールアドレスをそのトピックへサブスクライブします。各アカウントでS3-bucket-level-public-access-prohibited AWS Configマネージドルールを適用するコンプライアンスパッケージをデプロイし、AWS Systems Managerドキュメントを用いて非準拠イベントをSNSトピックへ発行してSecOpsチームへ通知します。
解説
AWSサービスにおいて、AWS Configはリソース構成の評価・監査・モニタリングに使用されます。AWSドキュメントによると、AWS Configは「S3-bucket-level-public-access-prohibited」などのマネージドルールを用いて、リソースがポリシーに準拠しているかを検証できます。選択肢Cは、AWS Configを有効化し、コンプライアンスパッケージでこのマネージドルールを適用し、Systems Managerを用いて非準拠イベントをSNSトピックへプッシュするという手法です。他の選択肢には欠点があります:選択肢Aは脅威検出に特化したGuardDutyに依存しており、構成監視には不向きです。選択肢BのCloudFormationスタックはメンバーアカウントによって改変可能であり、信頼性に欠けます。選択肢DのInspectorは構成変更の検知とは直接関係ありません。選択肢Cの集中管理型AWS Configは、組織内のすべてのアカウントが監視を回避できないことを保証し、本問の要件を満たします。