Q62 — AWS SAA-C03 第1章
第 62/65 問 | ← 第1章
Q62. ある企業は、そのマルチティアアプリケーションをAWS上でホストしています。コンプライアンス、ガバナンス、監査、およびセキュリティのため、同社はAWSリソースにおける設定変更を追跡し、これらのリソースに対して行われたAPI呼び出しの履歴を記録する必要があります。ソリューションアーキテクトは、これらの要件を満たすために何を行うべきでしょうか?
- A. 設定変更の追跡にはAWS CloudTrailを使用し、API呼び出しの記録にはAWS Configを使用する
- B. 設定変更の追跡にはAWS Configを使用し、API呼び出しの記録にはAWS CloudTrailを使用する ✓
- C. 設定変更の追跡にはAWS Configを使用し、API呼び出しの記録にはAmazon CloudWatchを使用する
- D. 設定変更の追跡にはAWS CloudTrailを使用し、API呼び出しの記録にはAmazon CloudWatchを使用する
正解: B. 設定変更の追跡にはAWS Configを使用し、API呼び出しの記録にはAWS CloudTrailを使用する
解説
AWSリソースにおける設定変更の追跡とAPI呼び出し履歴の記録という要件を満たすには、ソリューションアーキテクトは以下の通りにする必要があります:B. 設定変更の追跡にはAWS Configを使用し、API呼び出しの記録にはAWS CloudTrailを使用する。理由は以下の通りです。 1. AWS Config:AWS Configは、AWS環境内のリソースの設定およびその変更を評価・監査・追跡するためのサービスです。詳細なAWSリソースのインベントリを提供し、時間の経過に伴う設定変更を記録します。これにより、リソースの状態や構成のずれ(configuration drift)、コンプライアンス違反を可視化できます。 2. AWS CloudTrail:AWS CloudTrailは、AWSアカウント内で行われるAPIアクティビティおよびイベントをログ記録・記録するサービスです。AWSサービスに対するすべてのAPI呼び出し(呼び出し元のID、呼び出し時刻、ソースIPアドレス、リクエストパラメータなど)をキャプチャします。AWS CloudTrailを有効化することで、コンプライアンス、ガバナンス、セキュリティ目的に不可欠な包括的なAPIアクティビティ監査ログを取得できます。 選択肢A(設定変更の追跡にAWS CloudTrail、API呼び出しの記録にAWS Config)は誤りです。AWS CloudTrailは主にAPI呼び出しの記録に使用され、設定変更の追跡には適していません。一方、AWS Configはリソース設定の追跡・管理に特化したサービスです。 選択肢C(設定変更の追跡にAWS Config、API呼び出しの記録にAmazon CloudWatch)は誤りです。Amazon CloudWatchは主にモニタリング向けのサービスであり、API呼び出しの詳細なログ記録および監査機能はAWS CloudTrailほど充実していません。 選択肢D(設定変更の追跡にAWS CloudTrail、API呼び出しの記録にAmazon CloudWatch)も誤りです。AWS CloudTrailは設定変更の追跡を目的としておらず、またAmazon CloudWatchはAWS CloudTrailと同等の詳細なAPIログ記録・監査機能を提供しません。 したがって、要件を満たす正しい選択肢はB(設定変更の追跡にAWS Config、API呼び出しの記録にAWS CloudTrail)です。