Q87 — AWS DOP-C02 第2章

第 87/100 問 | ← 第2章

ある企業がAWS Organizationsの組織内で複数のアカウントを管理しています。組織内のいずれかのアカウントがAmazon S3バケットの「パブリックアクセスのブロック」機能を無効にした場合、セキュリティ運用(SecOps)チームはAmazon Simple Notification Service(Amazon SNS)による通知を受け取る必要があります。DevOpsエンジニアは、どのAWSアカウントの運用にも影響を与えない方法でこの要件を実装する必要があります。また、実装は組織内の個別メンバーアカウントが通知を無効にできないように保証しなければなりません。

正解: A. 特定のアカウントを委任されたAmazon GuardDuty管理者アカウントとして指定します。組織全体のすべてのアカウントでGuardDutyを有効化します。GuardDuty管理者アカウント内でSNSトピックを作成し、SecOpsチームの電子メールアドレスをそのSNSトピックにサブスクライブさせます。同一アカウント内で、GuardDutyの結果を検出するイベントパターンとSNSトピックをターゲットとするAmazon EventBridgeルールを作成します。

解説

選択肢Aは、選択肢Bとは異なる集中管理手法を提供します。Aは既にAmazon SNSと統合されており、AWS環境内の脅威を検出する機能を持つAmazon GuardDutyを活用します。一方、選択肢Bでは、CloudTrail向けのカスタムルールをCloudFormationで展開する必要があり、管理および監視が困難になる可能性があります。