Q92 — AWS SCS-C02 第1章
第 92/100 問 | ← 第1章
スタートアップ企業は、単一のAWSリージョンにリソースを持つ単一のAWSアカウントを使用しています。セキュリティエンジニアは、AWS CLIを使用して同じリージョンにAWS CloudTrailトレールを構成し、ログファイルをAmazon S3バケットに配信しています。 事業拡大に伴い、企業は複数のリージョンにリソースを追加しました。セキュリティエンジニアは、新規リージョンからのログがS3バケットに到達していないことに気づきました。 この問題を最小限の運用オーバーヘッドで修正するには、セキュリティエンジニアは何を行うべきですか?
- A. 新しいCloudTrailトレールを作成します。企業がリソースを追加した新規リージョンを選択します。
- B. S3バケットを変更し、すべてのリージョンからのすべてのアクションを追跡する通知を受信できるようにします。
- C. すべてのリージョンに適用される新しいCloudTrailトレールを作成します。
- D. 既存のCloudTrailトレールを変更し、すべてのリージョンに適用されるようにします。 ✓
正解: D. 既存のCloudTrailトレールを変更し、すべてのリージョンに適用されるようにします。
解説
AWS CloudTrailは、単一のトレールでマルチリージョンのログ収集をサポートしています。既存のトレールが単一リージョンのみに適用されている場合、新規リージョンのAPIアクティビティは記録されません。AWS公式ドキュメントによると、「Apply trail to all regions」オプションを有効化することで、既存のトレールがすべてのリージョン(将来追加されるリージョンも含む)のログを自動的に収集します。選択肢Dは既存の設定を編集するだけで済み、複数のトレールを管理する複雑さを回避し、最小の運用コストで要件を満たします。選択肢AおよびCは新規リソースの作成を必要とし、選択肢BのS3通知機能はログ収集範囲とは無関係です。