Q35 — AWS SCS-C02 第1章
第 35/100 問 | ← 第1章
ある企業は、外部のIDプロバイダーを使用して、異なるAWSアカウントへのフェデレーションを許可しています。この企業のセキュリティエンジニアは、1週間前に本番環境のAmazon EC2インスタンスを終了させたフェデレーテッドユーザーを特定する必要があります。 セキュリティエンジニアがフェデレーテッドユーザーを特定するための最も迅速な方法は何ですか?
- A. Amazon S3バケット内のAWS CloudTrailイベント履歴ログを確認し、「TerminateInstances」イベントを探して、ロールセッション名からフェデレーテッドユーザーを特定します。
- B. AWS CloudTrailイベント履歴を「TerminateInstances」イベントでフィルタリングし、想定されたIAMロールを特定します。その後、CloudTrail内の「AssumeRoleWithSAML」イベント呼び出しを確認して、対応するユーザー名を特定します。 ✓
- C. AWS CloudTrailログを「TerminateInstances」イベントで検索し、イベント時刻を確認します。すべてのフェデレーテッドロールのIAM Access Advisorタブを確認します。最後にアクセスされた時刻は、インスタンスが終了された時刻と一致するはずです。
- D. Amazon S3バケットに保存されているAWS CloudTrailログに対してAmazon Athenaを用いてSQLクエリを実行し、「TerminateInstances」イベントでフィルタリングします。対応するロールを特定した後、別のクエリを実行して「AssumeRoleWithWebIdentity」イベントをユーザー名でフィルタリングします。
正解: B. AWS CloudTrailイベント履歴を「TerminateInstances」イベントでフィルタリングし、想定されたIAMロールを特定します。その後、CloudTrail内の「AssumeRoleWithSAML」イベント呼び出しを確認して、対応するユーザー名を特定します。
解説
AWS CloudTrailは、ロールの引き受けおよびリソース操作を含むAPIアクティビティを記録します。フェデレーテッドユーザーはSAMLログインによって「AssumeRoleWithSAML」イベントをトリガーし、その中にユーザーのアイデンティティ情報が含まれます。「TerminateInstances」イベントは実行ロールを示しますが、元のユーザーを特定するには「AssumeRole」イベントとの関連付けが必要です。選択肢Bは、「TerminateInstances」イベントでロールを特定した後、対応する「AssumeRoleWithSAML」イベントを遡ってユーザー名を特定するという正しい手順を踏んでいます。選択肢Aはセッション名からユーザーを直接マッピングできない可能性があります。CのAccess Advisorはサービスへのアクセスを追跡するものであり、具体的なユーザーまたはAPI呼び出しとは関連付けられません。DはSAMLではなくWebIdentityイベントタイプを誤って使用しています。BはロールとSAMLアサーションの関連付けを正しく処理しています。