正解

IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う

解説

AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。AWSリソースに対してコンプライアンスに反した設定がされたまま運用されていないかをチェックできます。なお、指定したリソースに変更があったタイミングでAmazon SNS（Simple Notification Service）による通知を受け取ることもできます。

本設問の要件「IAMリソースの設定が変更された場合に検知したい」には、AWS Configが適しています。

以上より正解は
・IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う
です。

監査を行う他のサービスにはAWS CloudTrailがあります。
AWS ConfigがAWSリソースの設定を監視するのに対して、CloudTrailはユーザーの操作を監視します。AWS Configで違反項目を検出した後、CloudTrailにより誰が対象のリソースを変更したのかを調べることができます。

その他の選択肢については以下の通りです。

・AWS CloudTrailでIAMリソースの運用を監視し、Lambda関数で設定変更を検知する。検知した際はLambda関数からSQSキューへの通知を行う
CloudTrailについては、上述の通りユーザーの操作を監視するサービスです。また、SQSは通知を行うサービスではありません。したがって、誤りです。

・Amazon CloudWatchでIAMのメトリクスを監視する。設定変更がされた時にLambda関数で検知し、検知した際はLambda関数からSNS FIFOトピックへの通知を行う
CloudWatchはAWSリソースを定期的に監視するサービスです。ストレージがすべて使い切られる前に余剰を確保しておいたり、負荷が高くなり機能不全に陥る前に追加のリソースを用意したり等の安定した運用をサポートします。
サービスの設定変更を監査するためのサービスではありませんので、誤りです。また、IAMはCloudWatchのメトリクスとして監視対象に入っていません。

・AWS TrustedAdvisorでIAMの運用を監視する。設定変更があった場合にSNSトピックへ通知されるよう設定する
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。