助け合いフォーラム

AWS

AWS ソリューションアーキテクト - アソシエイト(SAA-C02)
問題ID : 29311
問題を開く
ある開発チームでは、監査チームからセキュリティポリシーを適切に運用するよう通達があったため、IAMユーザーおよびIAMグループ、IAMロールなどの運用を見直した。以降、IAMリソースの設定が変更された場合に検知したい。
適切なアクションは次のうちどれか。

正解

IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う

解説

AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。AWSリソースに対してコンプライアンスに反した設定がされたまま運用されていないかをチェックできます。なお、指定したリソースに変更があったタイミングでAmazon SNS(Simple Notification Service)による通知を受け取ることもできます。

本設問の要件「IAMリソースの設定が変更された場合に検知したい」には、AWS Configが適しています。

以上より正解は
・IAMリソースを監視するAWS Configルールを作成する。設定変更があった場合、SNSトピックへの通知を行う
です。

監査を行う他のサービスにはAWS CloudTrailがあります。
AWS ConfigがAWSリソースの設定を監視するのに対して、CloudTrailはユーザーの操作を監視します。AWS Configで違反項目を検出した後、CloudTrailにより誰が対象のリソースを変更したのかを調べることができます。

その他の選択肢については以下の通りです。

・AWS CloudTrailでIAMリソースの運用を監視し、Lambda関数で設定変更を検知する。検知した際はLambda関数からSQSキューへの通知を行う
CloudTrailについては、上述の通りユーザーの操作を監視するサービスです。また、SQSは通知を行うサービスではありません。したがって、誤りです。

・Amazon CloudWatchでIAMのメトリクスを監視する。設定変更がされた時にLambda関数で検知し、検知した際はLambda関数からSNS FIFOトピックへの通知を行う
CloudWatchはAWSリソースを定期的に監視するサービスです。ストレージがすべて使い切られる前に余剰を確保しておいたり、負荷が高くなり機能不全に陥る前に追加のリソースを用意したり等の安定した運用をサポートします。
サービスの設定変更を監査するためのサービスではありませんので、誤りです。また、IAMはCloudWatchのメトリクスとして監視対象に入っていません。

・AWS TrustedAdvisorでIAMの運用を監視する。設定変更があった場合にSNSトピックへ通知されるよう設定する
AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。AWSリソースの設定を監査するサービスではありませんので、誤りです。

参考

【AWS Config】
AWS Configは、AWSリソースの設定変更を監視、記録し、リソースのセキュリティやコンプライアンスを評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。


ルールに準拠していないリソースは以下のように列挙されます。


Configのルールを設定することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。

■Amazon Simple Notification Service(SNS)通知
Configでは指定したリソースに設定変更があった場合に、Amazon Simple Notification Service(SNS)から通知を受け取るように設定できます。
また、ルールに準拠していないリソースがある場合に通知を受け取る場合は、Amazon EventBridgeと連携します。ルールが非準拠になったことをトリガーにしたEventBridgeのイベントルールを作成し、SNSから通知するよう設定します。

■ルールの作成
ルールの作成には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加したりできます。
例えば、AWSリソースに対して用途や環境などの管理のためにタグを付与している場合、Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。


■非準拠リソースの修復
Configは、設定したルールに違反しているリソースを自動的に修復する機能を提供します。たとえば、セキュリティグループの設定エラーやEBSボリュームの非暗号化といった問題が検出された場合、Configは定義されたルールに基づいてこれらを自動的に修正します。修復手順は、AWS Systems Manager AutomationランブックやLambda関数を使用してカスタマイズすることができます。これにより、コンプライアンス違反を迅速に解決し、セキュリティを強化できます。
上に戻る

選択肢の誤字

投稿日 2022/05/31

選択肢の一つである下記の文ですが、「Lambda」と書かれるべきところが「Oambda」となっております。

「Amazon CloudWatchでIAMのメトリクスを監視する。不適切な運用はLambda関数で検知し、検知した際はOambda関数からSNS FIFOトピックへの通知を行う」

スタッフからの返信

s staff_khira0410

2022/06/01 08:47

jingerbox17 さん ご指摘の点を修正いたしました。 ご報告、誠にありがとうございました。

この投稿に対して返信しませんか?