Q37 — AWS SAA-C03 第4章
第 37/105 問 | ← 第4章
Q232. ある企業は、AWS Cloud 上のデプロイメントをレビューし、Amazon S3 バケットに不正な設定変更が行われていないことを確認する必要があります。この目標を達成するために、ソリューションアーキテクトは何を行うべきでしょうか?
- A. 適切なルールを有効化した状態で AWS Config を有効化します。 ✓
- B. 適切なチェックを有効化した状態で AWS Trusted Advisor を有効化します。
- C. 適切なアセスメントテンプレートを用いて Amazon Inspector を有効化します。
- D. Amazon S3 サーバーアクセスログを有効化し、Amazon EventBridge(Amazon CloudWatch Events)を設定します。
正解: A. 適切なルールを有効化した状態で AWS Config を有効化します。
解説
AWS Config は、リソースの設定履歴を記録・監視し、設定変更の検出やコンプライアンス評価を可能にするサービスです。S3 バケットの設定変更(例:パブリックアクセスの有効化、バケットポリシーの変更など)を検知・追跡するには、AWS Config の S3 関連ルール(例:s3-bucket-public-read-prohibited、s3-bucket-server-side-encryption-enabled など)を適用するのが最も適切です。一方、AWS Trusted Advisor はベストプラクティスに基づく推奨事項を提供しますが、リアルタイムの設定変更監視や履歴追跡は行いません。Amazon Inspector はアプリケーションやOSの脆弱性スキャンに特化しており、S3 の構成監視には対応していません。Amazon S3 サーバーアクセスログと Amazon EventBridge は、アクセスイベント(GET/PUT 等)の記録・通知には有効ですが、バケット設定自体の変更(例:ACL やバケットポリシーの更新)を直接検知・記録する機能はありません(設定変更は CloudTrail で記録されます)。したがって、最も適切な選択肢は A です。