Q56 — AWS SCS-C02 第1章
第 56/100 問 | ← 第1章
ある企業は、Amazon S3バケット内のオブジェクトレベルのアクティビティをログ記録する必要があります。また、デジタル署名を用いてログファイルの整合性を検証する必要があります。
- A. ログファイル検証機能を有効化したAWS CloudTrailトレイルを作成します。データイベントを有効化し、Amazon S3をデータイベントタイプとして指定します。 ✓
- B. S3サーバーアクセスログ用の新しいS3バケットを作成します。既存のS3バケットからS3サーバーアクセスログをこの新しいS3バケットへ送信するように設定します。
- C. Amazon CloudWatch Logsロググループを作成します。既存のS3バケットからS3サーバーアクセスログをこのロググループへ送信するように設定します。
- D. ログファイル検証機能を有効化したS3サーバーアクセスログ用の新しいS3バケットを作成します。データイベントを有効化し、Amazon S3をデータイベントタイプとして指定します。
正解: A. ログファイル検証機能を有効化したAWS CloudTrailトレイルを作成します。データイベントを有効化し、Amazon S3をデータイベントタイプとして指定します。
解説
AWS CloudTrailは、AWSアカウント内のAPI活動およびイベント(Amazon S3のオブジェクトレベル操作など)を記録するために使用されます。ログファイル検証機能を有効化すると、CloudTrailは各ログファイルに対してSHA-256ハッシュアルゴリズムおよびHMAC署名を用いたデジタル署名を生成し、ログファイルの整合性を保証します。S3をデータイベントタイプとして指定することで、CloudTrailはS3バケット内のオブジェクトレベル操作(アップロード、ダウンロードなど)をキャプチャできます。他の選択肢(S3サーバーアクセスログやCloudWatch Logs)はネイティブのデジタル署名検証をサポートせず、要求される整合性検証機能を提供できません。