Q87 — AWS DOP-C02 第2章
第 87/100 問 | ← 第2章
ある企業がAWS Organizationsの組織内で複数のアカウントを管理しています。組織内のいずれかのアカウントがAmazon S3バケットの「パブリックアクセスのブロック」機能を無効にした場合、セキュリティ運用(SecOps)チームはAmazon Simple Notification Service(Amazon SNS)による通知を受け取る必要があります。DevOpsエンジニアは、どのAWSアカウントの運用にも影響を与えない方法でこの要件を実装する必要があります。また、実装は組織内の個別メンバーアカウントが通知を無効にできないように保証しなければなりません。
- A. 特定のアカウントを委任されたAmazon GuardDuty管理者アカウントとして指定します。組織全体のすべてのアカウントでGuardDutyを有効化します。GuardDuty管理者アカウント内でSNSトピックを作成し、SecOpsチームの電子メールアドレスをそのSNSトピックにサブスクライブさせます。同一アカウント内で、GuardDutyの結果を検出するイベントパターンとSNSトピックをターゲットとするAmazon EventBridgeルールを作成します。 ✓
- B. SNSトピックを作成し、SecOpsチームの電子メールアドレスをそのSNSトピックにサブスクライブさせるAWS CloudFormationテンプレートを作成します。テンプレート内に、CloudTrailアクティビティs3:PutBucketPublicAccessBlockを検出するイベントパターンとSNSトピックをターゲットとするAmazon EventBridgeルールを含めます。CloudFormation StackSetsを使用して、このスタックを組織内のすべてのアカウントに展開します。
- C. 組織全体でAWS Configを有効化します。委任された管理者アカウント内でSNSトピックを作成し、SecOpsチームの電子メールアドレスをそのSNSトピックにサブスクライブさせます。各アカウントに、s3-bucket-level-public-access-prohibited AWS Configマネージドルールを適用するコンプライアンスパッケージを展開し、AWS Systems Managerドキュメントを使用してイベントをSNSトピックに送信し、SecOpsチームに通知します。
- D. 組織全体でAmazon Inspectorを有効化します。Amazon Inspector委任管理者アカウント内でSNSトピックを作成し、SecOpsチームの電子メールアドレスをそのSNSトピックにサブスクライブさせます。同一アカウント内で、S3バケットのパブリックネットワークへの公開を検出するイベントパターンを用いたAmazon EventBridgeルールを作成し、イベントをSNSトピックに送信してSecOpsチームに通知します。
正解: A. 特定のアカウントを委任されたAmazon GuardDuty管理者アカウントとして指定します。組織全体のすべてのアカウントでGuardDutyを有効化します。GuardDuty管理者アカウント内でSNSトピックを作成し、SecOpsチームの電子メールアドレスをそのSNSトピックにサブスクライブさせます。同一アカウント内で、GuardDutyの結果を検出するイベントパターンとSNSトピックをターゲットとするAmazon EventBridgeルールを作成します。
解説
選択肢Aは、選択肢Bとは異なる集中管理手法を提供します。Aは既にAmazon SNSと統合されており、AWS環境内の脅威を検出する機能を持つAmazon GuardDutyを活用します。一方、選択肢Bでは、CloudTrail向けのカスタムルールをCloudFormationで展開する必要があり、管理および監視が困難になる可能性があります。