SAP-C02#1(complexity)
ある金融グループは AWS Organizations で 80 アカウントを管理しています。監査部門は各アカウントの CloudTrail イベントを単一の集中ログアカウントに集約し、改ざん不可で長期保存することを求めています。さらに、セキュリティチームが Athena 互換 SQL でクエリを実行し、複数年にわたるイベントを横断分析できる必要があります。運用負荷を最小化しつつ要件を満たす方法はどれですか。
正解:A
正解の根拠
組織証跡 (Organization Trail) は、Organizations の管理アカウントで一度有効化するだけで、すべての既存および新規メンバーアカウントの管理イベントを自動的に取り込みます。送信先を集中ログアカウントの S3 バケットにし、Object Lock をコンプライアンスモードで構成すれば改ざん不可の長期保存が実現します。CloudTrail Lake はマネージド型の監査データレイクで、Athena 互換 SQL を直接実行でき、追加 ETL なしで横断分析できます。
| 要素 | 選定理由 |
|---|---|
| Organization Trail | 新規アカウント追加時の自動取り込み |
| S3 Object Lock (Compliance) | 削除・上書きを完全に禁止 |
| CloudTrail Lake | マネージド SQL 分析、最大 7 年保持 |
不正解の理由
- B: 個別証跡では新規アカウント追加時に毎回手動構成が必要となり、運用負荷が大きく増加します。
- C: バージョニングだけでは特権ユーザーによる完全削除を防げず、改ざん不可要件を満たしません。
- D: AWS Config は構成変更を扱うサービスで、CloudTrail の API イベント全量は取得できません。
コメント