Q5 — AWS SCS-C02 第1章

第 5/100 問 | ← 第1章

ある会社は、AWSアカウント向けにAWS Organizationsで組織を構成しています。すべてのAWSリージョンでAWS CloudTrailが有効化されています。セキュリティエンジニアは、CloudTrailが無効化されるのを防ぐソリューションを実装する必要があります。 この要件を満たすソリューションはどれですか?

正解: C. StopLoggingアクションおよびDeleteTrailアクションに対する明示的なDenyルールを含むSCPを作成し、ルートOUにアタッチします。

解説

AWS Organizationsでは、サービス制御ポリシー(SCP)を用いて組織レベルでメンバーアカウントの権限を制限できます。AWSドキュメントによると、SCPは`cloudtrail:StopLogging`および`cloudtrail:DeleteTrail`といった特定のAPI操作を明示的に拒否することで、CloudTrailの無効化または削除を効果的に阻止できます。選択肢Cは、ルートOUにアタッチされたSCPにDenyルールを適用しており、すべてのメンバーアカウントに適用されます。選択肢Aはログの整合性検証のみを提供し、操作そのものの制限にはなりません。選択肢Bは暗号化を扱うものであり、操作制限ではありません。選択肢DのIAMポリシーは、管理アカウントや未承認のAPI呼び出しには影響しません。