Q94 — AWS SCS-C02 第1章

第 94/100 問 | ← 第1章

ある企業は、AWSベストプラクティスに従ってAWSアカウントのルートユーザーをセキュアにしています。また、AWS CloudTrailを有効化し、そのログをAmazon S3に送信しています。セキュリティエンジニアは、AWSアカウントのルートユーザー資格情報を使用してAWS Management Consoleにサインインした場合に、ニアリアルタイムで通知を受け取りたいと考えています。 この通知を提供するソリューションはどれですか?(2つ選択)

正解: C. AWS CloudTrailがそのログをAmazon CloudWatch Logsに送信するように構成します。CloudTrailで使用されるCloudWatch Logsロググループにメトリクスフィルターを構成し、成功したルートアカウントログインのログエントリを評価します。ルートログインが発生したかどうかを監視するAmazon CloudWatchアラームを作成します。このCloudWatchアラームがALARM状態になったときにAmazon Simple Notification Service (Amazon SNS)トピックに通知するように構成します。必要なエンドポイントをこのSNSトピックにサブスクライブして、通知を受信できるようにします。, D. AWS CloudTrailがログ通知をAmazon Simple Notification Service (Amazon SNS)トピックに送信するように構成します。CloudTrail通知を解析してルートログイン活動を検出し、通知を受信すべきエンドポイントを含む別のSNSトピックに通知するAWS Lambda関数を作成します。このLambda関数を、CloudTrailからログ通知を受信するSNSトピックにサブスクライブします。

解説

問題文は、AWSルートユーザーのログイン時にニアリアルタイムで通知を受けることを要求しており、ソリューションはCloudTrailログのリアルタイム処理能力と統合する必要があります。AWSベストプラクティスでは、リアルタイム監視は通常、CloudTrailとCloudWatchまたはEventBridgeの統合によって実現されます。選択肢Cは正しい:CloudTrailログをCloudWatch Logsに送信し、Metric Filterでルートユーザーのログインイベント(例:ConsoleLoginおよびuserIdentity.type=Root)をフィルタリングし、CloudWatchアラームをトリガーしてSNS経由で通知します。これは、AWSドキュメントで推奨されるCloudTrailログのCloudWatchによるリアルタイム処理方法に合致します。選択肢Dも正しい:CloudTrailログイベントはEventBridge経由でルーティング可能であり(選択肢の説明では省略されていますが)、Lambda関数がイベントを解析してSNSに通知を送信することで、ニアリアルタイム対応が可能です。AWSはCloudTrail管理イベントをEventBridgeでキャプチャし、Lambdaをリアルタイムでトリガーすることを許可しており、これがニアリアルタイム要件を満たします。