助け合いフォーラム

AWS

AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 30207
問題を開く
ある企業では、セキュリティおよび運用監査のために、作成済みのS3バケットに対して、パブリックでの書き込みアクセスを許可されていないことと、バージョン管理が有効化されているかを確認する必要がある。また、今後の構成変更はすべて記録したい。
これらの要件を満たすAWSサービスはどれか。

正解

AWS Config

解説

AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


ルールに準拠していないリソースは以下のように列挙されます。


AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。なお、変更があったタイミングでSNSによる通知を受け取ることもできます。

本設問のケースではS3バケットに対する設定が適切に行われているかと、今後の構成変更の記録が必要ですので、AWS Configが適しています。

以上より正解は
・AWS Config
です。

その他の選択肢については以下の通りです。

・AWS Trusted Advisor
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。

・AWS CloudHSM
AWS CloudHSMは、専用のハードウェアデバイスを用いて暗号化鍵を生成・管理するサービスです。AWSリソースの監査は行いませんので、誤りです。

・Amazon S3
Amazon S3にはS3バケットの変更内容を把握したり記録したりする機能はありません。したがって、誤りです。

参考

【AWS Config】
AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


ルールに準拠していないリソースは以下のように列挙されます。


AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。

■SNS通知
Configでは指定したリソースに設定変更があった場合に、SNSから通知を受け取るように設定できます。
また、ルールに準拠していないリソースがある場合に通知を受け取る場合は、Amazon EventBridgeと連携します。ルールが非準拠になったことをトリガーにしたEventBridgeのイベントルールを作成し、 SNSから通知するよう設定します。

■ルールの作成
ルールの作成には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加したりできます。
例えば、AWSリソースに対して用途や環境などの管理のためにタグを付与している場合、AWS Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。2022年6月現在では、EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。

上に戻る

AWS ConfigとAWS CloudTrailの違い

公開日 2022/11/10

※問題の質問ではありません。
※類問30335

上記表題の違いを整理したいので質問させてください。
AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスで、AWS CloudTrailは操作を記録するものと認識しています。
30207の問題ではAWS Configが正解ですがAWS CloudTrailでも同様のことが出来ないでしょうか?
もし不可能で一部のみ可能であればその可能範囲も教えて頂ければと思います。

30207の問題であれば、設定の確認に関してはAWS Configができ、構成変更の記録だけであればAWS ConfigでもAWS CloudTrailでも確認ができるのではと考えております。

変な質問かもしれませんがご教授頂けますと幸いです。

2022/11/12 02:01

まず「AWS Config」と「AWS CloudTrail」の違いについて、おそらくysatoagさんも理解されてると思いますが
・AWS Config … 「AWSリソース」の設定を管理して記録・評価する
・AWS CloudTrail … 「AWSユーザー」の操作を記録する
という違いがあります。

30207の問題ではAWS Configが正解ですがAWS CloudTrailでも同様のことが出来ないでしょうか?
作成済みのS3バケットに対して、パブリックでの書き込みアクセスを許可されていないことと、バージョン管理が有効化されているかを確認する必要がある。また、今後の構成変更はすべて記録したい。

30207の問題であれば、設定の確認に関してはAWS Configができ、構成変更の記録だけであればAWS ConfigでもAWS CloudTrailでも確認ができるのではと考えております。

ご認識のとおり、現時点でのAWSリソースに対する設定確認はAWS Configができます。(CoudTrailですでに操作記録を取っている場合は、それを追跡して確認できますが)
そして構成変更の記録は、AWS ConfigでもAWS CloudTrailでもできます。(主体がAWSリソースか、AWSユーザーかの違いです)

実際にAWS ConfigはAWS CloudTrailと連携しているので、AWS CloudTrailで取得された操作は、AWS Configでも管理されています。
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html
https://aws.amazon.com/jp/config/faq/ 「Q: AWS Config は AWS CloudTrail とどのように連携しますか?」


コメント

b birdpixy

2022/11/12 02:27

すみません、ちょっと誤解がありました。 > 実際にAWS ConfigはAWS CloudTrailと連携しているので、AWS CloudTrailで取得された操作は、AWS Configでも管理されています。 管理されているというよりは、Configを通してCloudTrailの情報(誰がその設定をしたか)を参照できるのだと思います。

y ysatoag

2022/11/15 14:38

解説ありがとうございます! とても分かりやすく理解が進みました

この返信に対して
コメントを記入できます

この投稿に対して返信しませんか?