Q99 — AWS SCS-C02 第1章
第 99/100 問 | ← 第1章
セキュリティエンジニアは最近、AWSアカウント内のすべてのIAMアクセスキーをローテーションしました。その後、AWS Configを設定し、以下のAWS Configマネージドルールを有効化しました:mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated、およびiam-user-unused-credentials-check。 IAM GenerateCredentialReport API操作を呼び出した後、セキュリティエンジニアはすべてのリソースが非準拠(noncompliant)として表示されることに気づきました。 この非準拠ステータスの原因として考えられるのは何ですか?
- A. IAM資格情報レポートは過去4時間以内に生成されました。 ✓
- B. セキュリティエンジニアにはGenerateCredentialReport権限がありません。
- C. セキュリティエンジニアにはGetCredentialReport権限がありません。
- D. AWS ConfigルールのMaximum ExecutionFrequency値は24時間です。
正解: A. IAM資格情報レポートは過去4時間以内に生成されました。
解説
AWS Configルールの評価は、リソースデータの更新タイミングに依存します。IAM資格情報レポートを生成した後、最新の変更が反映されるまで最大4時間の遅延が生じることがあります。AWS公式ドキュメントでは、GenerateCredentialReport APIで生成される資格情報レポートには最大4時間のデータ遅延があると明記されています。このため、直後にAPIを呼び出して生成されたレポートには最新のキー・ローテーション情報が含まれていない可能性があり、AWS Configルールが古いデータに基づいて評価して非準拠と判断することがあります。選択肢Aはこのメカニズムを正しく反映しています。選択肢Dの実行頻度(デフォルト24時間)は直接的な原因ではなく、選択肢BおよびCの権限問題はレポートの生成自体とは無関係です。