Q78 — AWS DOP-C02 第2章
第 78/100 問 | ← 第2章
セキュリティチームは、AWS CloudTrail を使用して、会社の AWS アカウント内の機微なセキュリティ問題を検出しています。DevOps エンジニアは、AWS アカウント内で無効化された CloudTrail を自動的に修復するソリューションを必要としています。 どのソリューションが、CloudTrail のログ配信停止時間を最小限に抑えることができますか?
- A. CloudTrail のイベント記録停止をトリガーとする Amazon EventBridge ルールを作成します。AWS SDK を使用して、記録停止が呼び出されたリソースの ARN に対して StartLogging を実行する AWS Lambda 関数を作成します。この Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。 ✓
- B. 1 時間ごとの評価間隔で設定された、CloudTrail を有効化した AWS Config のマネージドルールをデプロイします。AWS Config ルールのコンプライアンス状態変更をトリガーとする Amazon EventBridge ルールを作成します。AWS SDK を使用して、記録停止が呼び出されたリソースの ARN に対して StartLogging を実行する AWS Lambda 関数を作成します。この Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。
- C. 5 分ごとの定期イベントをトリガーとする Amazon EventBridge ルールを作成します。AWS SDK を使用して、AWS アカウント内の CloudTrail トレースに対して StartLogging を実行する AWS Lambda 関数を作成します。この Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。
- D. 5 分ごとに実行されるスクリプトで t2.nano インスタンスを起動し、AWS SDK を使用して現在のアカウント内の CloudTrail 状態を照会します。CloudTrail トレースが無効化されている場合、スクリプトでトレースを再有効化します。
正解: A. CloudTrail のイベント記録停止をトリガーとする Amazon EventBridge ルールを作成します。AWS SDK を使用して、記録停止が呼び出されたリソースの ARN に対して StartLogging を実行する AWS Lambda 関数を作成します。この Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。
解説
本問は、CloudTrail のログ配信を継続的に保証するための自動化手法を問うものです。AWS の公式ドキュメントによると、CloudTrail のログ記録中断はセキュリティ監視に影響を及ぼす可能性があります。選択肢 A は、EventBridge を用いて CloudTrail の停止イベント(例:StopLogging)をリアルタイムで検出し、Lambda を即時起動して StartLogging を呼び出すことで、ログ記録の停止時間を最短にします。選択肢 B は AWS Config の 1 時間ごとの評価に依存しており、応答遅延が大きいです。選択肢 C および D は定期的なポーリング方式であり、イベント駆動型に比べて応答が遅く、停止時間の最小化には不適です。正解の A は、イベント駆動型アーキテクチャを採用し、停止イベント発生直後に即座に応答できるため、ポーリング間隔を待つ必要がありません。