Q38 — AWS SAP-C02 第1章

第 38/75 問 | ← 第1章

Q113. ある企業がAWSクラウド上でアプリケーションを実行しています。同社のセキュリティチームは、すべての新規IAMユーザー作成を事前に承認する必要があります。新規IAMユーザーが作成された際には、そのユーザーに対するすべてのアクセス権限を自動的に削除しなければなりません。その後、セキュリティチームに通知を送信し、当該ユーザーの承認を依頼する必要があります。また、同社はAWSアカウント内にマルチリージョンのAWS CloudTrailトレイルを設定しています。 これらの要件を満たすための手順の組み合わせはどれですか?(3つ選択)

正解: A. Amazon EventBridgeルールを作成します。詳細タイプ(detail-type)を「AWS API Call via CloudTrail」、イベント名(eventName)を「CreateUser」に設定したパターンを定義します。, D. AWS Step Functionsステートマシンを呼び出して、アクセス権限を削除します。, E. Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティチームに通知します。

解説

・A:最初のステップとして、新規IAMユーザー作成(CreateUser)という特定のAPIコールを検出するEventBridgeルールを作成します。これにより、後続の処理をトリガーできます。 ・D:次に、AWS Step Functionsステートマシンを活用して、新規IAMユーザーのアクセス権限を自動的に削除します。これはセキュリティチームが要求する「自動的なアクセス制限」を確実に実現します。 ・E:最後に、Amazon SNSを用いてセキュリティチームに通知を送信します。これにより、新規ユーザーの作成およびアクセス権限の削除が完了したことを確認し、承認プロセスを開始できます。 選択肢Bは不適切です。CloudTrail単体では、新規ユーザーへのアクセス権限削除といったアクションを実行できません。 選択肢Cは不適切です。問題文には、Amazon ECSやAWS Fargateの利用について一切言及されていません。 選択肢Fは不適切です。問題文では明示的に「Amazon SNSを用いた通知」と指定されており、Amazon Pinpointは要件を満たしません。