Q62 — AWS SAA-C03 第4章

第 62/105 問 | ← 第4章

Q257. IAMユーザーが先週、プロダクション環境へのデプロイ中に会社のAWSアカウント内のリソースに対して複数の設定変更を行いました。ソリューションズアーキテクトは、いくつかのセキュリティグループルールが意図通りに設定されていないことを確認しました。このソリューションズアーキテクトは、どのIAMユーザーがこれらの変更を実行したかを特定したいと考えています。 この情報を取得するために、ソリューションズアーキテクトが使用すべきサービスはどれですか?

正解: C. AWS CloudTrail

解説

AWSリソースに対する設定変更を行ったIAMユーザーを特定し、どのセキュリティグループルールが意図通りに設定されていなかったかを確認するには、AWS CloudTrail を使用する必要があります。したがって、正解は選択肢Cです。 選択肢AのAmazon GuardDutyは、AWSアカウント内で悪意のある活動や不正な動作を継続的に監視する脅威検出サービスです。GuardDutyは不正な変更を検出するのに役立ちますが、誰が変更を行ったかという詳細な情報は提供しません。 選択肢BのAmazon Inspectorは、EC2インスタンス上で展開されたアプリケーションのセキュリティおよびコンプライアンス状況を自動評価するサービスです。Inspectorはアプリケーションのセキュリティ状態に関する洞察を提供しますが、設定変更の実行者に関する情報は提供しません。 選択肢DのAWS Configは、AWSリソースとその設定の詳細なインベントリを時間の経過とともに提供するサービスです。Configはリソースの設定情報は提供しますが、誰が変更を行ったかという詳細な情報は必ずしも提供しません。 一方、AWS CloudTrail を使用すれば、AWS API呼び出しの監査ログを確認し、どのIAMユーザーがどのような設定変更を行い、どのようなアクションを実行したかを特定できます。CloudTrailは、AWSアカウント内で行われたすべてのAPI呼び出しを記録しており、呼び出しを行ったユーザーのID、呼び出し時刻、APIに渡されたパラメータなどの情報を含みます。関連する期間およびAPI呼び出しをCloudTrailログで検索することで、変更を実行したIAMユーザーを特定し、必要に応じてさらに調査できます。この解決策は、問題文で示された要件を満たします。