Q98 — AWS DOP-C02 第1章
第 98/100 問 | ← 第1章
DevOps 管理者が、会社の Amazon CloudWatch Logs のセキュリティを管理しています。会社のセキュリティポリシーでは、承認された人員のみがログ内の従業員 ID を閲覧できると定められています。従業員 ID は「Emp-XXXXXX」の形式(各 X は数字)で構成されています。監査結果によると、従業員 ID が単一のログファイル内に存在することが確認されました。このログファイルはエンジニアが利用可能ですが、エンジニアは従業員 ID を閲覧できません。エンジニアは現在、AWS IAM Identity Center を介してアカウント内のリソースにアクセスする権限を持っています。
- A. ロググループに新しいデータ保護ポリシーを作成します。カスタムデータ識別子として Emp-\d{6} を設定します。IAM ポリシーを作成し、「logs:Unmask」アクションに対する拒否権限を付与します。このポリシーをエンジニアアカウントにアタッチします。 ✓
- B. ロググループに新しいデータ保護ポリシーを作成します。マネージドデータ識別子として「個人」データカテゴリを追加します。IAM ポリシーを作成し、「NotAction」で「logs:Unmask」に対する拒否権限を付与します。このポリシーをエンジニアアカウントにアタッチします。
- C. AWS Lambda 関数を作成し、ログファイルのエントリを解析して従業員 ID を削除し、結果を新しいログファイルに書き込みます。ロググループに Lambda サブスクリプションフィルターを作成し、Lambda 関数を選択します。ロググループに対して lambda:InvokeFunction 権限を付与します。
- D. Amazon S3 バケットを宛先とする Amazon Data Firehose デリバリーストリームを作成します。ロググループに Firehose サブスクリプションフィルターを作成し、Firehose デリバリーストリームを使用します。エンジニアアカウントから「logs:*」権限を削除します。S3 バケット上で Amazon Macie ジョブを作成し、Emp-\d{6} カスタム識別子を指定します。
正解: A. ロググループに新しいデータ保護ポリシーを作成します。カスタムデータ識別子として Emp-\d{6} を設定します。IAM ポリシーを作成し、「logs:Unmask」アクションに対する拒否権限を付与します。このポリシーをエンジニアアカウントにアタッチします。
解説
本問は、Amazon CloudWatch Logs のデータ保護ポリシーと IAM 権限制御の応用を問うものです。AWS ドキュメントによると、CloudWatch Logs のデータ保護ポリシーは、機密データの識別子を定義し、一致する内容を自動的にマスクできます。選択肢 A は、従業員 ID の正確なパターン Emp-\d{6} をカスタム識別子として使用し、IAM ポリシーで logs:Unmask アクションを明示的に拒否することで、エンジニアによるマスク解除を防止します。他の選択肢(Lambda や Firehose)は追加のデータ処理ステップを必要とし、遅延と複雑性を増加させます。選択肢 B のマネージド識別子はカスタムパターンに一致せず、選択肢 D の Macie はリアルタイムマスクではなく、保存後の分析に使用されます。AWS のベストプラクティスでは、最小限の運用オーバーヘッドで実現可能なネイティブポリシー制御が推奨されます。