SOA-C03#3(security)
セキュリティ要件として、アカウント全体の S3 バケットがパブリック公開されている場合に自動でブロック設定を強制したいと考えています。最小の運用負荷で実現する方法はどれですか。
正解:A
正解の根拠
AWS Config マネージドルールでパブリック設定を継続評価し、非準拠時は SSM Automation 修復ドキュメントで Block Public Access を自動適用できます。検出と修復をマネージドで実現できるため運用負荷が最小です。
S3 公開対策の比較
| 方式 | 検出 | 修復 |
|---|---|---|
| Config + SSM Automation | マネージド | 自動 |
| 自作 Lambda | 自前 | 自前 |
| EventBridge 単独 | イベント検知 | 追加実装 |
| BPA のみ | 強制有効 | 個別バケットの非準拠検知不可 |
不正解の理由
- B: アカウント BPA のみは個別違反検出のレポート機能が弱く、継続評価要件として副作用があります。
- C: Lambda 自作運用は標準機能の再発明で、運用負荷の副作用が大きく要件の最小化と整合しません。
- D: EventBridge+Lambda の都度ブロックは追加実装の副作用があり、Config 標準ルールの代替としては運用負荷が大きい構成です。
コメント