Q84 — AWS DOP-C02 第3章
第 84/100 問 | ← 第3章
セキュリティチームは、AWS Organizations内で同一組織に属する複数のアカウントにおけるユーザー操作およびAPI呼び出しを監視するためにAWS CloudTrailを活用したいと考えています。セキュリティチームは、各アカウントのユーザーがCloudTrailを無効化できないようにする必要があります。
- A. すべてのOU(Organizational Unit)に、cloudtrail:StopLoggingおよびcloudtrail:DeleteTrailアクションを拒否するサービス制御ポリシー(SCP)を適用します。 ✓
- B. 各アカウントでIAMポリシーを作成し、cloudtrail:StopLoggingおよびcloudtrail:DeleteTrailアクションを拒否します。
- C. ユーザーがアカウント内でCloudTrailを無効化した際にセキュリティチームに通知するよう、Amazon CloudWatchアラームを設定します。
- D. ユーザーがアカウント内でCloudTrailを無効化した場合に、AWS Configを用いて自動的にCloudTrailを再有効化します。
正解: A. すべてのOU(Organizational Unit)に、cloudtrail:StopLoggingおよびcloudtrail:DeleteTrailアクションを拒否するサービス制御ポリシー(SCP)を適用します。
解説
AWS Organizationsのサービス制御ポリシー(SCP)は、組織全体または特定の組織単位(OU)で権限を集中管理するために使用されます。AWSドキュメントによれば、SCPは許可または拒否する操作を定義することにより、メンバーアカウントに対する権限の境界を提供します。本問では、CloudTrailの無効化を防ぐために、`cloudtrail:StopLogging`および`cloudtrail:DeleteTrail`というAPI操作を制限する必要があります。選択肢Aは、SCPを用いてこれらの2つのAPI操作を直接拒否し、対象となるすべてのOU以下のアカウントを包括的にカバーするため、一貫した制御が可能です。選択肢Bは各アカウントのIAMポリシーに依存しており、管理の複雑さと権限の回避リスクがあります。選択肢CおよびDは受動的な応答メカニズムであり、無効化行為を事前に阻止できません。AWSのベストプラクティスでは、重要なサービスの保護にはSCPによる集中管理が推奨されています。