Q98 — AWS DOP-C02 第1章

第 98/100 問 | ← 第1章

DevOps 管理者が、会社の Amazon CloudWatch Logs のセキュリティを管理しています。会社のセキュリティポリシーでは、承認された人員のみがログ内の従業員 ID を閲覧できると定められています。従業員 ID は「Emp-XXXXXX」の形式(各 X は数字)で構成されています。監査結果によると、従業員 ID が単一のログファイル内に存在することが確認されました。このログファイルはエンジニアが利用可能ですが、エンジニアは従業員 ID を閲覧できません。エンジニアは現在、AWS IAM Identity Center を介してアカウント内のリソースにアクセスする権限を持っています。

正解: A. ロググループに新しいデータ保護ポリシーを作成します。カスタムデータ識別子として Emp-\d{6} を設定します。IAM ポリシーを作成し、「logs:Unmask」アクションに対する拒否権限を付与します。このポリシーをエンジニアアカウントにアタッチします。

解説

本問は、Amazon CloudWatch Logs のデータ保護ポリシーと IAM 権限制御の応用を問うものです。AWS ドキュメントによると、CloudWatch Logs のデータ保護ポリシーは、機密データの識別子を定義し、一致する内容を自動的にマスクできます。選択肢 A は、従業員 ID の正確なパターン Emp-\d{6} をカスタム識別子として使用し、IAM ポリシーで logs:Unmask アクションを明示的に拒否することで、エンジニアによるマスク解除を防止します。他の選択肢(Lambda や Firehose)は追加のデータ処理ステップを必要とし、遅延と複雑性を増加させます。選択肢 B のマネージド識別子はカスタムパターンに一致せず、選択肢 D の Macie はリアルタイムマスクではなく、保存後の分析に使用されます。AWS のベストプラクティスでは、最小限の運用オーバーヘッドで実現可能なネイティブポリシー制御が推奨されます。