Q44 — AWS DOP-C02 第2章
第 44/100 問 | ← 第2章
ある企業が、外部顧客ごとにIAMユーザーを作成し、その顧客にAWSアカウントへのアクセス権限を付与しています。
- A. AWSアカウントでAWS Configを有効にします。AWS Configマネージドルール「iam-user-unused-credentials-check」をデプロイし、定期的にConfigルールを実行するように構成します。自動修復を構成して、AWS Systems Manager Automationランブック「AWSConfigRemediation-RevokeUnusedIAMUserCredentials」を実行します。 ✓
- B. AWSアカウントでAWS Identity and Access Management Access Analyzerを使用してアナライザーを作成します。90日以上前に最後にアクセスしたIAMユーザーのIAMアクセスアナライザーイベントを一致させるAmazon EventBridgeルールを作成します。このルールを構成して、AWS Systems Manager Automationランブック「AWSConfigRemediation-DetachIAMPolicy」を実行し、IAMユーザーにアタッチされたすべてのポリシーを分離します。
- C. AWSアカウントでAWS Trusted Advisorを有効にします。AWS Developer Supportプランを使用してAWS Support APIにアクセスします。Amazon EventBridgeのスケジュールルールを構成し、Trusted AdvisorのIAMアクセスキーのローテーションチェックを使用して90日以上未使用のIAM資格情報を検出します。別のEventBridgeルールを構成し、Trusted Advisor Check Item Refresh Statusイベントタイプを使用して、AWS Systems Manager Automationランブック「AWSConfigRemediation-RevokeUnusedIAMUserCredentials」を実行します。
- D. AWSアカウントでAWS Security Hubを有効にします。IAMユーザーの最終アクセス時刻を特定するSecurity Hubルールを構成します。Amazon EventBridgeルールを構成し、Security Hubルールに一致した場合にAWS Systems Manager Automationランブック「AWSConfigRemediation-RevokeUnusedIAMUserCredentials」を実行します。
正解: A. AWSアカウントでAWS Configを有効にします。AWS Configマネージドルール「iam-user-unused-credentials-check」をデプロイし、定期的にConfigルールを実行するように構成します。自動修復を構成して、AWS Systems Manager Automationランブック「AWSConfigRemediation-RevokeUnusedIAMUserCredentials」を実行します。
解説
オプションA:正しく、未使用のIAM資格情報の権限を撤回します。オプションB:権限を撤回せず、非アクティブなIAMユーザーにアタッチされたポリシーを分離します。オプションC:権限を撤回せず、Trusted Advisorを使用して非アクティブなIAM資格情報を検出します。オプションD:権限を撤回せず、IAMアクセスの最終時刻を特定します。