SCS-C02#1(security-logging)
ある企業は AWS Organizations に 30 のメンバーアカウントを保有しています。セキュリティチームは、すべてのアカウントの API アクティビティを単一の S3 バケットに集約し、新規アカウント追加時にも自動で記録対象に含めたいと考えています。さらに、ログファイルが改ざんされていないことを後から検証できる必要があります。最も運用負荷の少ない方法はどれですか。
正解:B
正解の根拠
組織の証跡 (organization trail) は管理アカウントまたは委任管理者から一度作成するだけで、既存および新規のメンバーアカウントすべてを自動的にカバーします。ログファイル検証を有効化すると、digest ファイルにより S3 配信後の改ざんを検出できます。
| 機能 | 効果 |
|---|---|
| 組織の証跡 | 新規アカウントを自動包含 |
| ログファイル検証 | 改ざん検知 |
不正解の理由
- A: アカウント追加のたびに証跡を手作業で作成する必要があり、運用負荷が高くなります。
- C: CloudTrail Lake はクエリ用途であり、改ざん検証や中央配信の要件を直接満たしません。
- D: EventBridge は管理イベントの配信遅延が大きく、ログファイル検証は提供されません。
コメント