Q5 — AWS SCS-C02 第1章
第 5/100 問 | ← 第1章
ある会社は、AWSアカウント向けにAWS Organizationsで組織を構成しています。すべてのAWSリージョンでAWS CloudTrailが有効化されています。セキュリティエンジニアは、CloudTrailが無効化されるのを防ぐソリューションを実装する必要があります。 この要件を満たすソリューションはどれですか?
- A. 組織の管理アカウントから、CloudTrailログファイルの整合性検証を有効化します。
- B. CloudTrailログに対してAWS KMSキー(SSE-KMS)によるサーバー側暗号化を有効化します。KMSキーを作成し、ログの復号を防止するポリシーをキーにアタッチします。
- C. StopLoggingアクションおよびDeleteTrailアクションに対する明示的なDenyルールを含むSCPを作成し、ルートOUにアタッチします。 ✓
- D. 会社のすべてのユーザー向けにIAMポリシーを作成し、DescribeTrailsアクションおよびGetTrailStatusアクションを実行できないようにします。
正解: C. StopLoggingアクションおよびDeleteTrailアクションに対する明示的なDenyルールを含むSCPを作成し、ルートOUにアタッチします。
解説
AWS Organizationsでは、サービス制御ポリシー(SCP)を用いて組織レベルでメンバーアカウントの権限を制限できます。AWSドキュメントによると、SCPは`cloudtrail:StopLogging`および`cloudtrail:DeleteTrail`といった特定のAPI操作を明示的に拒否することで、CloudTrailの無効化または削除を効果的に阻止できます。選択肢Cは、ルートOUにアタッチされたSCPにDenyルールを適用しており、すべてのメンバーアカウントに適用されます。選択肢Aはログの整合性検証のみを提供し、操作そのものの制限にはなりません。選択肢Bは暗号化を扱うものであり、操作制限ではありません。選択肢DのIAMポリシーは、管理アカウントや未承認のAPI呼び出しには影響しません。