助け合いフォーラム

AWS

AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 30215
問題を開く
ある開発チームでは、監査チームからセキュリティポリシーを適切に運用するよう通達があったため、IAMユーザーおよびIAMグループ、IAMロールなどの運用を見直した。以降、IAMリソースの設定が変更された場合に検知したい。
適切なアクションは次のうちどれか。

正解

IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う

解説

AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。AWSリソースに対してコンプライアンスに反した設定がされたまま運用されていないかをチェックできます。なお、指定したリソースに変更があったタイミングでAmazon SNS(Simple Notification Service)による通知を受け取ることもできます。

本設問の要件「IAMリソースの設定が変更された場合に検知したい」には、AWS Configが適しています。

以上より正解は
・IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う
です。

監査を行う他のサービスにはAWS CloudTrailがあります。
AWS ConfigがAWSリソースの設定を監視するのに対して、CloudTrailはユーザーの操作を監視します。AWS Configで違反項目を検出した後、CloudTrailにより誰が対象のリソースを変更したのかを調べることができます。

その他の選択肢については以下の通りです。

・AWS CloudTrailでIAMリソースの運用を監視し、Lambda関数で設定変更を検知する。検知した際はLambda関数からSQSキューへの通知を行う
CloudTrailについては、上述の通りユーザーの操作を監視するサービスです。また、SQSは通知を行うサービスではありません。したがって、誤りです。

・Amazon CloudWatchでIAMのメトリクスを監視する。設定変更がされた時にLambda関数で検知し、検知した際はLambda関数からSNS FIFOトピックへの通知を行う
CloudWatchはAWSリソースを定期的に監視するサービスです。ストレージがすべて使い切られる前に余剰を確保しておいたり、負荷が高くなり機能不全に陥る前に追加のリソースを用意したり等の安定した運用をサポートします。
サービスの設定変更を監査するためのサービスではありませんので、誤りです。また、IAMはCloudWatchのメトリクスとして監視対象に入っていません。

・AWS Trusted AdvisorでIAMの運用を監視する。設定変更があった場合にSNSトピックへ通知されるよう設定する
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。

参考

【AWS Config】
AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


ルールに準拠していないリソースは以下のように列挙されます。


AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。

■SNS通知
Configでは指定したリソースに設定変更があった場合に、SNSから通知を受け取るように設定できます。
また、ルールに準拠していないリソースがある場合に通知を受け取る場合は、Amazon EventBridgeと連携します。ルールが非準拠になったことをトリガーにしたEventBridgeのイベントルールを作成し、 SNSから通知するよう設定します。

■ルールの作成
ルールの作成には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加したりできます。
例えば、AWSリソースに対して用途や環境などの管理のためにタグを付与している場合、AWS Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。2022年6月現在では、EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。

上に戻る

[セキュリティ] 軽微な誤りの報告

公開日 2022/09/09

回答選択肢、および「解説」の部分にて、

[誤] AWS TrustedAdvisor
[正] AWS Trusted Advisor

また、「解説」にて同一の画像がほぼ連続で2回掲載されているのも誤りかもしれません。

スタッフからの返信

s staff_satomi

2022/09/12 10:26

tnishita2様 ご指摘の点を修正いたしました。 ご報告下さり、誠にありがとうございます。

この投稿に対して返信しませんか?