助け合いフォーラム
AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 30215
問題を開く
ある開発チームでは、監査チームからセキュリティポリシーを適切に運用するよう通達があったため、IAMユーザーおよびIAMグループ、IAMロールなどの運用を見直した。以降、IAMリソースの設定が変更された場合に検知したい。
適切なアクションは次のうちどれか。
適切なアクションは次のうちどれか。
正解
IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う
解説
AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。
Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。AWSリソースに対してコンプライアンスに反した設定がされたまま運用されていないかをチェックできます。なお、指定したリソースに変更があったタイミングでAmazon SNS(Simple Notification Service)による通知を受け取ることもできます。
本設問の要件「IAMリソースの設定が変更された場合に検知したい」には、Configが適しています。
以上より正解は
・IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う
です。
監査を行う他のサービスにはAWS CloudTrailがあります。
ConfigがAWSリソースの設定を監視するのに対して、CloudTrailはユーザーの操作を監視します。Configで違反項目を検出した後、CloudTrailにより誰が対象のリソースを変更したのかを調べることができます。
その他の選択肢については以下の通りです。
・AWS CloudTrailでIAMリソースの運用を監視し、Lambda関数で設定変更を検知する。検知した際はLambda関数からSQSキューへの通知を行う
CloudTrailについては、上述の通りユーザーの操作を監視するサービスです。また、SQSは通知を行うサービスではありません。したがって、誤りです。
・Amazon CloudWatchでIAMのメトリクスを監視する。設定変更がされた時にLambda関数で検知し、検知した際はLambda関数からSNS FIFOトピックへの通知を行う
CloudWatchはAWSリソースを定期的に監視するサービスです。ストレージがすべて使い切られる前に余剰を確保しておいたり、負荷が高くなり機能不全に陥る前に追加のリソースを用意したり等の安定した運用をサポートします。
サービスの設定変更を監査するためのサービスではありませんので、誤りです。また、IAMはCloudWatchのメトリクスとして監視対象に入っていません。
・AWS Trusted AdvisorでIAMの運用を監視する。設定変更があった場合にSNSトピックへ通知されるよう設定する
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。
Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。AWSリソースに対してコンプライアンスに反した設定がされたまま運用されていないかをチェックできます。なお、指定したリソースに変更があったタイミングでAmazon SNS(Simple Notification Service)による通知を受け取ることもできます。
本設問の要件「IAMリソースの設定が変更された場合に検知したい」には、Configが適しています。
以上より正解は
・IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う
です。
監査を行う他のサービスにはAWS CloudTrailがあります。
ConfigがAWSリソースの設定を監視するのに対して、CloudTrailはユーザーの操作を監視します。Configで違反項目を検出した後、CloudTrailにより誰が対象のリソースを変更したのかを調べることができます。
その他の選択肢については以下の通りです。
・AWS CloudTrailでIAMリソースの運用を監視し、Lambda関数で設定変更を検知する。検知した際はLambda関数からSQSキューへの通知を行う
CloudTrailについては、上述の通りユーザーの操作を監視するサービスです。また、SQSは通知を行うサービスではありません。したがって、誤りです。
・Amazon CloudWatchでIAMのメトリクスを監視する。設定変更がされた時にLambda関数で検知し、検知した際はLambda関数からSNS FIFOトピックへの通知を行う
CloudWatchはAWSリソースを定期的に監視するサービスです。ストレージがすべて使い切られる前に余剰を確保しておいたり、負荷が高くなり機能不全に陥る前に追加のリソースを用意したり等の安定した運用をサポートします。
サービスの設定変更を監査するためのサービスではありませんので、誤りです。また、IAMはCloudWatchのメトリクスとして監視対象に入っていません。
・AWS Trusted AdvisorでIAMの運用を監視する。設定変更があった場合にSNSトピックへ通知されるよう設定する
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。
参考
【AWS Config】
AWS Configは、AWSリソースの設定変更を監視、記録し、リソースのセキュリティやコンプライアンスを評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。
ルールに準拠していないリソースは以下のように列挙されます。
Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。
■Amazon Simple Notification Service(SNS)通知
Configでは指定したリソースに設定変更があった場合に、Amazon Simple Notification Service(SNS)から通知を受け取るように設定できます。
また、ルールに準拠していないリソースがある場合に通知を受け取る場合は、Amazon EventBridgeと連携します。ルールが非準拠になったことをトリガーにしたEventBridgeのイベントルールを作成し、SNSから通知するよう設定します。
■ルールの作成
ルールの作成には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加したりできます。
例えば、AWSリソースに対して用途や環境などの管理のためにタグを付与している場合、Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。
■非準拠リソースの修復
Configは、設定したルールに違反しているリソースを自動的に修復する機能を提供します。たとえば、セキュリティグループの設定エラーやEBSボリュームの非暗号化といった問題が検出された場合、Configは定義されたルールに基づいてこれらを自動的に修正します。修復手順は、AWS Systems Manager AutomationランブックやLambda関数を使用してカスタマイズすることができます。これにより、コンプライアンス違反を迅速に解決し、セキュリティを強化できます。
AWS Configは、AWSリソースの設定変更を監視、記録し、リソースのセキュリティやコンプライアンスを評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。
ルールに準拠していないリソースは以下のように列挙されます。
Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。
■Amazon Simple Notification Service(SNS)通知
Configでは指定したリソースに設定変更があった場合に、Amazon Simple Notification Service(SNS)から通知を受け取るように設定できます。
また、ルールに準拠していないリソースがある場合に通知を受け取る場合は、Amazon EventBridgeと連携します。ルールが非準拠になったことをトリガーにしたEventBridgeのイベントルールを作成し、SNSから通知するよう設定します。
■ルールの作成
ルールの作成には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加したりできます。
例えば、AWSリソースに対して用途や環境などの管理のためにタグを付与している場合、Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。
■非準拠リソースの修復
Configは、設定したルールに違反しているリソースを自動的に修復する機能を提供します。たとえば、セキュリティグループの設定エラーやEBSボリュームの非暗号化といった問題が検出された場合、Configは定義されたルールに基づいてこれらを自動的に修正します。修復手順は、AWS Systems Manager AutomationランブックやLambda関数を使用してカスタマイズすることができます。これにより、コンプライアンス違反を迅速に解決し、セキュリティを強化できます。
[セキュリティ] 軽微な誤りの報告
投稿日 2022/09/09
回答選択肢、および「解説」の部分にて、
[誤] AWS TrustedAdvisor
[正] AWS Trusted Advisor
また、「解説」にて同一の画像がほぼ連続で2回掲載されているのも誤りかもしれません。
スタッフからの返信
この投稿に対して返信しませんか?
s staff_satomi
2022/09/12 10:26
tnishita2様 ご指摘の点を修正いたしました。 ご報告下さり、誠にありがとうございます。