Q20 — AWS SAP-C02 第2章

第 20/75 問 | ← 第2章

Q170. ある企業が、新しく取得したAWSアカウントのセキュリティ状態を監査する必要があります。同社のデータセキュリティチームは、Amazon S3バケットがパブリックに公開された場合にのみ通知を受け取りたいとしています。すでに、データセキュリティチームのメールアドレスが登録されたAmazon Simple Notification Service(Amazon SNS)トピックが設定済みです。 この要件を満たすソリューションはどれですか?

正解: B. AWS Identity and Access Management Access Analyzerでアナライザーを作成します。その後、「Access Analyzer Finding」イベントタイプのAmazon EventBridgeルールを作成し、「isPublic : true」をフィルター条件として設定します。このEventBridgeルールのターゲットとしてSNSトピックを選択します。

解説

正しい選択肢はBです。AWS IAM Access Analyzerは、リソースのアクセス許可を分析し、意図しないパブリックまたはクロスアカウントアクセスを検出するために設計されています。S3バケットがパブリックに公開された場合、Access Analyzerは「isPublic: true」を含む「Access Analyzer Finding」イベントを生成します。このイベントをAmazon EventBridgeでキャッチし、SNSトピックへ送信することで、データセキュリティチームへの正確かつタイムリーな通知が実現できます。一方、選択肢AはS3イベント通知では「isPublic」イベントは存在しないため無効です。選択肢CはPutBucketPolicy呼び出しを監視しますが、バケットポリシー以外(例:ACLやバケット所有者の権限設定など)によるパブリック公開を検知できません。選択肢DのAWS Configルール「cloudtrail-s3-dataevents-enabled」はCloudTrailのS3データイベント記録を有効化する設定ルールであり、パブリック露出の検知には不適切です。また、「Config Rules Re-evaluation Status」イベントはコンプライアンス評価のステータス変更を示すもので、S3のパブリック露出を直接検知するものではありません。