Q35 — AWS SCS-C02 第1章

第 35/100 問 | ← 第1章

ある企業は、外部のIDプロバイダーを使用して、異なるAWSアカウントへのフェデレーションを許可しています。この企業のセキュリティエンジニアは、1週間前に本番環境のAmazon EC2インスタンスを終了させたフェデレーテッドユーザーを特定する必要があります。 セキュリティエンジニアがフェデレーテッドユーザーを特定するための最も迅速な方法は何ですか?

正解: B. AWS CloudTrailイベント履歴を「TerminateInstances」イベントでフィルタリングし、想定されたIAMロールを特定します。その後、CloudTrail内の「AssumeRoleWithSAML」イベント呼び出しを確認して、対応するユーザー名を特定します。

解説

AWS CloudTrailは、ロールの引き受けおよびリソース操作を含むAPIアクティビティを記録します。フェデレーテッドユーザーはSAMLログインによって「AssumeRoleWithSAML」イベントをトリガーし、その中にユーザーのアイデンティティ情報が含まれます。「TerminateInstances」イベントは実行ロールを示しますが、元のユーザーを特定するには「AssumeRole」イベントとの関連付けが必要です。選択肢Bは、「TerminateInstances」イベントでロールを特定した後、対応する「AssumeRoleWithSAML」イベントを遡ってユーザー名を特定するという正しい手順を踏んでいます。選択肢Aはセッション名からユーザーを直接マッピングできない可能性があります。CのAccess Advisorはサービスへのアクセスを追跡するものであり、具体的なユーザーまたはAPI呼び出しとは関連付けられません。DはSAMLではなくWebIdentityイベントタイプを誤って使用しています。BはロールとSAMLアサーションの関連付けを正しく処理しています。