Q7 — AWS DOP-C02 第2章

第 7/100 問 | ← 第2章

ある企業が、複数のAWSアカウントで重要なワークロードを実行しています。これらのアカウントは、単一の組織管理アカウント下のAWS Organizationsで管理されており、すべての機能が有効化されています。同社は、Amazon S3バケットに顧客データを保存しており、これらのS3バケットへのアクセスには複数段階の承認が必要です。 同社は、S3バケットがAWS CLIで使用された際の状況を監視したいと考えています。また、AWSアカウント内で他のアカウントがS3システム上で実行するさまざまな操作を把握し、問題を特定したいと考えています。 これらの要件を満たすソリューションはどれですか?

正解: B. AWS Organizationsの管理アカウントでAWS CloudTrailの組織トラッキングを設定し、Amazon CloudWatch Logsに配信します。すべてのS3バケットのデータイベントログを有効化します。すべてのAWSアカウントでAmazon CloudTrailの異常検出機能を使用します。Amazon Athenaを使用して、CloudTrailログから作成されたカスタムメトリクスに対してSQLクエリを実行します。

解説

この問題は、AWSサービスの組み合わせによる、マルチアカウント環境におけるS3アクティビティの集中監視と異常検出に関するものです。AWS公式ドキュメントによると、CloudTrailの組織トラッキングにより、すべてのメンバーアカウントのログを管理アカウントに集約でき、個別設定は不要です。S3データイベントログの有効化により、CLIを含むAPI操作をキャプチャできます。GuardDutyはCloudTrailログと統合され、脅威検出機能を提供します。AthenaはS3に保存されたログに対してSQL分析を実行できます。選択肢Bは、組織レベルのトラッキング、データイベント収集、GuardDutyによる検出、およびAthenaによるクエリという正しい組み合わせであり、集中監視および異常分析の要件を満たします。他の選択肢は、トラッキングのレベル、検出ツール、またはクエリサービスの選択において不適切です。