Q34 — AWS SCS-C02 第1章
第 34/100 問 | ← 第1章
ある企業のセキュリティチームは、AWSアクセスキーが90日以上回転されていない場合に通知を受け取る必要があります。セキュリティエンジニアは、これらの通知を自動的に提供するソリューションを開発しなければなりません。 これらの要件を満たすソリューションのうち、最も少ない労力で実現できるのはどれですか?
- A. 24時間ごとの定期実行でAWS Configマネージドルールをデプロイします。access-keys-rotatedマネージドルールを選択し、maxAccessKeyAgeパラメータを90日に設定します。AWS Configによるマネージドルールのコンプライアンスタイプ「NON_COMPLIANT」に一致するイベントパターンを持つAmazon EventBridgeルールを作成します。EventBridgeを設定して、セキュリティチームへAmazon Simple Notification Service (Amazon SNS)通知を送信します。 ✓
- B. IAMアクセスキーのローテーションに関するAWS Trusted Advisorチェックから.csvファイルをエクスポートするスクリプトを作成します。このスクリプトをAWS Lambda関数に読み込み、.csvファイルをAmazon S3バケットにアップロードします。S3バケットへの.csvファイルのアップロード時に実行されるAmazon Athenaテーブルクエリを作成します。90日以上経過したキーについて、Amazon Simple Notification Service (Amazon SNS)通知をセキュリティチームへ送信するように結果を公開します。
- C. 定期的にIAM資格情報レポートをダウンロードするスクリプトを作成します。このスクリプトをAWS Lambda関数に読み込み、Amazon EventBridgeを通じてスケジュール実行されるように設定します。Lambdaスクリプトを設定して、レポートをメモリに読み込み、最終ローテーション日時が少なくとも90日前であるレコードをフィルタリングします。該当レコードが検出された場合、Amazon Simple Notification Service (Amazon SNS)通知をセキュリティチームへ送信します。
- D. すべてのユーザーを一覧表示するためIAM APIをクエリするAWS Lambda関数を作成します。ListAccessKeys操作を使用してユーザーを反復処理し、CreateDateフィールドの値が少なくとも90日以上経過していないことを確認します。値が少なくとも90日以上経過している場合、Amazon Simple Notification Service (Amazon SNS)通知をセキュリティチームへ送信します。Lambda関数を毎日実行するようAmazon EventBridgeルールを作成します。
正解: A. 24時間ごとの定期実行でAWS Configマネージドルールをデプロイします。access-keys-rotatedマネージドルールを選択し、maxAccessKeyAgeパラメータを90日に設定します。AWS Configによるマネージドルールのコンプライアンスタイプ「NON_COMPLIANT」に一致するイベントパターンを持つAmazon EventBridgeルールを作成します。EventBridgeを設定して、セキュリティチームへAmazon Simple Notification Service (Amazon SNS)通知を送信します。
解説
本問は、AWSアクセスキーのローテーション監視の核心メカニズムに焦点を当てており、最小限の運用コストで実現可能な自動化ソリューションの識別が鍵となります。AWS Configは、アクセスキーの最長存続期間(maxAccessKeyAgeパラメータ)を直接設定可能な事前構築済みコンプライアンスルールaccess-keys-rotatedを提供しており、EventBridgeによるNON_COMPLIANTイベントのキャプチャとSNS通知のトリガーが可能であり、コード開発を一切必要としません。他の選択肢は、すべてスクリプト作成(レポートのエクスポートやAPIのポーリング)または複雑なデータ処理フロー(S3+Athena)を伴い、運用上の複雑さが著しく高くなります。正解はAです。