Q34 — AWS SCS-C02 第1章

第 34/100 問 | ← 第1章

ある企業のセキュリティチームは、AWSアクセスキーが90日以上回転されていない場合に通知を受け取る必要があります。セキュリティエンジニアは、これらの通知を自動的に提供するソリューションを開発しなければなりません。 これらの要件を満たすソリューションのうち、最も少ない労力で実現できるのはどれですか?

正解: A. 24時間ごとの定期実行でAWS Configマネージドルールをデプロイします。access-keys-rotatedマネージドルールを選択し、maxAccessKeyAgeパラメータを90日に設定します。AWS Configによるマネージドルールのコンプライアンスタイプ「NON_COMPLIANT」に一致するイベントパターンを持つAmazon EventBridgeルールを作成します。EventBridgeを設定して、セキュリティチームへAmazon Simple Notification Service (Amazon SNS)通知を送信します。

解説

本問は、AWSアクセスキーのローテーション監視の核心メカニズムに焦点を当てており、最小限の運用コストで実現可能な自動化ソリューションの識別が鍵となります。AWS Configは、アクセスキーの最長存続期間(maxAccessKeyAgeパラメータ)を直接設定可能な事前構築済みコンプライアンスルールaccess-keys-rotatedを提供しており、EventBridgeによるNON_COMPLIANTイベントのキャプチャとSNS通知のトリガーが可能であり、コード開発を一切必要としません。他の選択肢は、すべてスクリプト作成(レポートのエクスポートやAPIのポーリング)または複雑なデータ処理フロー(S3+Athena)を伴い、運用上の複雑さが著しく高くなります。正解はAです。