Q53 — AWS SAA-C03 第5章

第 53/65 問 | ← 第5章

Q353. AWS を利用している企業が、元従業員が暗号通貨のマイニング目的で大規模な Amazon EC2 インスタンスを起動していたことを発見しました。この企業は、今後新たな大規模インスタンスが起動されるのを防止したいと考えています。また、マイニング活動に使用されているインスタンスを検知した際に通知を送信するソリューションを必要としています。さらに、Microsoft Active Directory を ID プロバイダー (IdP) として活用し、IAM ユーザーを中央集約的に管理する必要があります。これらの要件を満たすソリューションはどれですか?

正解: A. Amazon GuardDuty と Amazon EventBridge を使用してマイニング活動を検出し、通知を提供します。AWS Organizations および大規模インスタンスの起動を拒否するサービス制御ポリシー (SCP) を実装します。ユーザー管理のため、AWS Directory Service for Microsoft Active Directory を IdP とするシングルサインオン (SSO) を実装します。

解説

Amazon GuardDuty は、AWS アカウント全体を継続的に監視し、暗号通貨マイニングなどの悪意ある活動を検出する脅威検出サービスです。GuardDuty をマイニング活動の検知に設定することで、マイニングに使用されているインスタンスを特定できます。Amazon EventBridge を活用すれば、GuardDuty によって検出されたイベントに基づいてイベント駆動型の通知を設定でき、マイニング活動発生時に即座に通知を受け取れます。AWS Organizations を導入することで、企業内の複数の AWS アカウントを中央集約的に管理でき、組織レベルでサービス制御ポリシー (SCP) を適用することで、大規模インスタンスの起動を効果的に禁止し、マイニング目的での新規インスタンス起動を防止できます。Microsoft Active Directory を ID プロバイダー (IdP) として活用し IAM ユーザーを中央集約的に管理するには、AWS Directory Service for Microsoft Active Directory を IdP とする AWS SSO の実装が推奨されます。これにより、既存の Active Directory インフラストラクチャを活用したシームレスな認証およびユーザー管理が可能になります。選択肢 B は、マイニング活動の検知に特化していない Amazon Macie を提案しているため不適切です。選択肢 C および D は、Microsoft Active Directory との統合に Amazon Cognito を使用していますが、これは推奨されるアプローチではなく、AWS Directory Service for Microsoft Active Directory を IdP とする AWS SSO の利用が正しい方法です。