Q6 — AWS DOP-C02 第3章
第 6/100 問 | ← 第3章
ある会社が、単一のAWSアカウント内でアプリケーションをホストしています。このアプリケーションは、機密情報を含むオブジェクトの保存にAmazon S3バケットを使用しています。 同社は、S3 API呼び出し(オブジェクトレベルの操作を含む)をキャプチャする必要があります。これには、無効な認証情報によって拒否された呼び出しも含まれます。
- A. アカウント内にAWS CloudTrailトレースを作成します。S3データイベントの記録を有効化します。トレースのログ出力をAmazon CloudWatchへ設定します。 ✓
- B. 新しいS3バケットを作成します。アプリケーションのS3バケットでアクセスログ記録を設定し、新しいS3バケットへログを記録するアクセス権限を付与します。
- C. Amazon GuardDutyを設定し、アカウントに対してS3保護を有効化します。S3バケットに関連付けられた検出事項に一致するAmazon EventBridgeルールを作成します。ルールをAmazon Simple Queue Service(Amazon SQS)キューをターゲットとして設定します。
- D. アカウント内にAWS CloudTrailトレースおよび新しいS3バケットを作成します。トレースのログ出力を新しいS3バケットへ設定します。
正解: A. アカウント内にAWS CloudTrailトレースを作成します。S3データイベントの記録を有効化します。トレースのログ出力をAmazon CloudWatchへ設定します。
解説
AWS CloudTrailは、AWSアカウント内のAPI活動(S3オブジェクトレベルの操作を含む)を監視・記録するためのサービスです。本問では、無効な認証情報による拒否を含むすべてのS3 API呼び出しをキャプチャすることが求められています。CloudTrailのデータイベント機能は、このようなオブジェクトレベルの読み書きイベントおよび失敗したリクエストを専門に記録します。選択肢Aは、トレースの作成とS3データイベントの有効化により、この要件を満たします。一方、S3アクセスログ(選択肢B)は認証失敗イベントを記録できません。Amazon GuardDuty(選択肢C)は脅威検出に特化しており、詳細なログ記録には向きません。選択肢Dはデータイベントの有効化を明示しておらず、オブジェクトレベルの呼び出しを確実に記録できません。AWSドキュメントによれば、CloudTrailデータイベントはこのような操作を記録する推奨手法です。