助け合いフォーラム
これらの要件を満たすAWSサービスはどれか。
正解
AWS Config
解説
ルールに準拠していないリソースは以下のように列挙されます。
Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。なお、変更があったタイミングでSNSによる通知を受け取ることもできます。
本設問のケースではS3バケットに対する設定が適切に行われているかと、今後の構成変更の記録が必要ですので、Configが適しています。
以上より正解は
・AWS Config
です。
その他の選択肢については以下の通りです。
・AWS Trusted Advisor
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。
・AWS CloudHSM
AWS CloudHSMは、専用のハードウェアデバイスを用いて暗号化鍵を生成・管理するサービスです。AWSリソースの監査は行いませんので、誤りです。
・Amazon S3
Amazon S3にはS3バケットの変更内容を把握したり記録したりする機能はありません。したがって、誤りです。
参考
AWS Configは、AWSリソースの設定変更を監視、記録し、リソースのセキュリティやコンプライアンスを評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。
ルールに準拠していないリソースは以下のように列挙されます。
Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。
■Amazon Simple Notification Service(SNS)通知
Configでは指定したリソースに設定変更があった場合に、Amazon Simple Notification Service(SNS)から通知を受け取るように設定できます。
また、ルールに準拠していないリソースがある場合に通知を受け取る場合は、Amazon EventBridgeと連携します。ルールが非準拠になったことをトリガーにしたEventBridgeのイベントルールを作成し、SNSから通知するよう設定します。
■ルールの作成
ルールの作成には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加したりできます。
例えば、AWSリソースに対して用途や環境などの管理のためにタグを付与している場合、Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。
■非準拠リソースの修復
Configは、設定したルールに違反しているリソースを自動的に修復する機能を提供します。たとえば、セキュリティグループの設定エラーやEBSボリュームの非暗号化といった問題が検出された場合、Configは定義されたルールに基づいてこれらを自動的に修正します。修復手順は、AWS Systems Manager AutomationランブックやLambda関数を使用してカスタマイズすることができます。これにより、コンプライアンス違反を迅速に解決し、セキュリティを強化できます。
AWS ConfigとAWS CloudTrailの違い
※問題の質問ではありません。
※類問30335
上記表題の違いを整理したいので質問させてください。
AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスで、AWS CloudTrailは操作を記録するものと認識しています。
30207の問題ではAWS Configが正解ですがAWS CloudTrailでも同様のことが出来ないでしょうか?
もし不可能で一部のみ可能であればその可能範囲も教えて頂ければと思います。
30207の問題であれば、設定の確認に関してはAWS Configができ、構成変更の記録だけであればAWS ConfigでもAWS CloudTrailでも確認ができるのではと考えております。
変な質問かもしれませんがご教授頂けますと幸いです。
まず「AWS Config」と「AWS CloudTrail」の違いについて、おそらくysatoagさんも理解されてると思いますが
・AWS Config … 「AWSリソース」の設定を管理して記録・評価する
・AWS CloudTrail … 「AWSユーザー」の操作を記録する
という違いがあります。
30207の問題ではAWS Configが正解ですがAWS CloudTrailでも同様のことが出来ないでしょうか?
作成済みのS3バケットに対して、パブリックでの書き込みアクセスを許可されていないことと、バージョン管理が有効化されているかを確認する必要がある。また、今後の構成変更はすべて記録したい。
30207の問題であれば、設定の確認に関してはAWS Configができ、構成変更の記録だけであればAWS ConfigでもAWS CloudTrailでも確認ができるのではと考えております。
ご認識のとおり、現時点でのAWSリソースに対する設定確認はAWS Configができます。(CoudTrailですでに操作記録を取っている場合は、それを追跡して確認できますが)
そして構成変更の記録は、AWS ConfigでもAWS CloudTrailでもできます。(主体がAWSリソースか、AWSユーザーかの違いです)
実際にAWS ConfigはAWS CloudTrailと連携しているので、AWS CloudTrailで取得された操作は、AWS Configでも管理されています。
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html
https://aws.amazon.com/jp/config/faq/ 「Q: AWS Config は AWS CloudTrail とどのように連携しますか?」
コメント
この投稿に対して返信しませんか?
b birdpixy
2022/11/12 02:27
すみません、ちょっと誤解がありました。 > 実際にAWS ConfigはAWS CloudTrailと連携しているので、AWS CloudTrailで取得された操作は、AWS Configでも管理されています。 管理されているというよりは、Configを通してCloudTrailの情報(誰がその設定をしたか)を参照できるのだと思います。