SCSC03-DET#2
ある企業は AWS Organizations の全アカウントの API アクティビティを、改ざん検知が可能な形で単一の場所に集約し、後からクエリできるようにしたいと考えています。次の候補から該当するものだけを選び、実施すべき順に 3 ステップを並べてください(使用しない候補があります)。
ステップ 1
ステップ 2
ステップ 3
解説
【正しい順序】
- ステップ 1: 管理アカウント(または委任管理者)で AWS CloudTrail の組織の証跡を作成する。
- ステップ 2: ログファイル検証を有効化し、改ざん検知用のダイジェストファイルを生成する。
- ステップ 3: 中央のログアーカイブ用 S3 バケットへ配信し、Amazon Athena でクエリできるようにする。
【ポイント】
組織全体の API アクティビティを集約するには、まず管理アカウントまたは委任管理者から CloudTrail の組織の証跡を作成します。組織の証跡は、既存および将来追加されるメンバーアカウントを自動的に対象に含めるため、アカウント追加のたびに手作業を行う必要がありません。次に、ログファイル検証を有効化すると、CloudTrail が署名付きのダイジェストファイルを生成し、S3 配信後にログが改ざんされていないことを暗号的に検証できるようになります。最後に、集約先の中央 S3 バケットへログを配信し、Amazon Athena を用いて SQL でクエリできるようにすることで、監査や調査の要件を満たします。各アカウントでの個別作成は運用負荷が高く、CloudTrail の無効化や S3 サーバーアクセスログのみの利用は、改ざん検知や網羅的な API 記録の要件を満たしません。

コメント