Q20 — AWS SAP-C02 第2章
第 20/75 問 | ← 第2章
Q170. ある企業が、新しく取得したAWSアカウントのセキュリティ状態を監査する必要があります。同社のデータセキュリティチームは、Amazon S3バケットがパブリックに公開された場合にのみ通知を受け取りたいとしています。すでに、データセキュリティチームのメールアドレスが登録されたAmazon Simple Notification Service(Amazon SNS)トピックが設定済みです。 この要件を満たすソリューションはどれですか?
- A. すべてのS3バケットに対して「isPublic」イベントのS3イベント通知を作成し、そのターゲットとしてSNSトピックを選択します。
- B. AWS Identity and Access Management Access Analyzerでアナライザーを作成します。その後、「Access Analyzer Finding」イベントタイプのAmazon EventBridgeルールを作成し、「isPublic : true」をフィルター条件として設定します。このEventBridgeルールのターゲットとしてSNSトピックを選択します。 ✓
- C. 「Bucket-Level API Call via CloudTrail」イベントタイプのAmazon EventBridgeルールを作成し、「PutBucketPolicy」をフィルター条件として設定します。このEventBridgeルールのターゲットとしてSNSトピックを選択します。
- D. AWS Configを有効化し、cloudtrail-s3-dataevents-enabledルールを追加します。その後、「Config Rules Re-evaluation Status」イベントタイプのAmazon EventBridgeルールを作成し、「NON COMPLIANT」をフィルター条件として設定します。このEventBridgeルールのターゲットとしてSNSトピックを選択します。
正解: B. AWS Identity and Access Management Access Analyzerでアナライザーを作成します。その後、「Access Analyzer Finding」イベントタイプのAmazon EventBridgeルールを作成し、「isPublic : true」をフィルター条件として設定します。このEventBridgeルールのターゲットとしてSNSトピックを選択します。
解説
正しい選択肢はBです。AWS IAM Access Analyzerは、リソースのアクセス許可を分析し、意図しないパブリックまたはクロスアカウントアクセスを検出するために設計されています。S3バケットがパブリックに公開された場合、Access Analyzerは「isPublic: true」を含む「Access Analyzer Finding」イベントを生成します。このイベントをAmazon EventBridgeでキャッチし、SNSトピックへ送信することで、データセキュリティチームへの正確かつタイムリーな通知が実現できます。一方、選択肢AはS3イベント通知では「isPublic」イベントは存在しないため無効です。選択肢CはPutBucketPolicy呼び出しを監視しますが、バケットポリシー以外(例:ACLやバケット所有者の権限設定など)によるパブリック公開を検知できません。選択肢DのAWS Configルール「cloudtrail-s3-dataevents-enabled」はCloudTrailのS3データイベント記録を有効化する設定ルールであり、パブリック露出の検知には不適切です。また、「Config Rules Re-evaluation Status」イベントはコンプライアンス評価のステータス変更を示すもので、S3のパブリック露出を直接検知するものではありません。