Q3 — AWS SCS-C02 第1章

第 3/100 問 | ← 第1章

ある会社は、パブリックアクセスやクロスアカウントアクセスをリソースに許可するIAMポリシーを特定・防止する能力を向上させる必要があります。この会社はAWS Organizationsを導入済みであり、組織内のアカウントに対する過剰に広範なアクセスを精査するために、AWS Identity and Access Management Access Analyzerの使用を開始しています。 セキュリティエンジニアは、組織内で新たに作成された過剰に許容的なポリシーに対して自動応答を実装しなければなりません。この自動化は、外部アクセスを是正し、会社のセキュリティチームに通知する必要があります。 これらの要件を満たすために、セキュリティエンジニアが実施すべき手順の組み合わせはどれですか?(3つ選択)

正解: A. AWS Step Functionsステートマシンを作成し、検出結果のリソースタイプをチェックして、IAMロールの信頼ポリシーに明示的なDenyステートメントを追加します。ステートマシンを構成して、Amazon Simple Notification Service (Amazon SNS) トピックに通知を発行します。 , C. Amazon EventBridgeで、アクティブなIAM Access Analyzerの検出結果に一致するイベントルールを作成し、解決のためにAWS Step Functionsを呼び出します。 , F. 外部またはクロスアカウントアクセスに関する通知用のAmazon Simple Notification Service (Amazon SNS) トピックを作成します。セキュリティチームのメールアドレスをトピックにサブスクライブします。

解説

IAM Access Analyzerの検出結果はAmazon EventBridgeを通じてイベントとして配信されます。自動化された応答を実現するには、EventBridgeイベントルールで検出結果をキャッチし、Step FunctionsやLambdaなどのサービスを呼び出す必要があります。選択肢Cは、EventBridgeで検出結果に一致するルールを作成し、Step Functionsを呼び出す正しいアプローチです。選択肢Aは、Step Functionsによる是正処置とSNS通知の発行を含む有効な自動化フローです。選択肢Fは、セキュリティチームへの通知手段としてSNSトピックとメールサブスクリプションを設定する標準的な手法であり、必須の通知機能を提供します。選択肢BはBatchの利用が不適切(非同期処理にはLambdaが適している)、選択肢DはCloudWatchメトリクスフィルターはログベースの検出にしか対応せず、Access Analyzerのイベントには適用できません。選択肢EはSQSによる通知は冗長で、SNSとの重複となります。正解はA、C、Fです。