SOA-C03#5(security)
マルチアカウント環境で全アカウントの IAM ユーザーが MFA を有効にしているか継続的に評価し、組織レベルで集計したいと考えています。最適なアプローチはどれですか。
正解:D
正解の根拠
Config 適合パックは複数のマネージドルール(mfa-enabled-for-iam-console-access など)をテンプレート化して組織展開できます。Aggregator により全アカウント・リージョンの評価結果を 1 ビューで集約でき、継続評価に最適です。
マルチアカウント評価手法の比較
| 方式 | 展開 | 集約 |
|---|---|---|
| Config 適合パック + Aggregator | 組織配布 | あり |
| Trusted Advisor 手動 | 手動 | 手動 |
| 自作 Lambda | 自前 | 自前 |
| Security Hub S3 標準 | S3 観点のみ | 該当外 |
不正解の理由
- A: Lambda 自前スキャンは標準機能の再発明で、運用負荷とエラーハンドリングに副作用があります。
- B: Trusted Advisor 手動集計は時間と精度の課題があり、組織横断の継続評価要件と整合しません。
- C: Security Hub の S3 標準は S3 観点のみが対象で、IAM MFA 評価の設計目的とは異なります。
コメント