AIF-C01#69(foundation-models)
あるセキュリティ会社が、Amazon Bedrock を使用して基盤モデル(FMs)を運用しています。同社は、モデルを呼び出すのが認可されたユーザーのみであることを確認したいと考えています。また、将来の FMs の運用に向けて適切な AWS Identity and Access Management(IAM)ポリシーとロールを設定するために、認可されていないアクセス試行を特定する必要があります。 Amazon Bedrock にアクセスしようとする認可されていないユーザーを特定するために、どの AWS サービスを使用すべきですか?
正解:B
正解の根拠
AWS CloudTrail はマネジメントイベントとして Bedrock の InvokeModel など全 API 呼出を記録し、誰がいつどのアクションを試みたかを追跡できます。Access Denied イベントを Athena/CloudWatch Logs Insights で検索することで、認可されていないアクセス試行を特定し IAM 設計に反映できます。
関連サービスの役割
| サービス | 役割 |
|---|---|
| CloudTrail | API 呼出と拒否の監査 |
| Audit Manager | コンプラ評価フレーム |
| Fraud Detector | 不正取引検出 |
| Trusted Advisor | ベストプラクティス助言 |
不正解の理由
- A: Audit Manager はコンプライアンス統制の評価フレームワークで、Bedrock API の個別アクセス試行を直接ログ化する機能ではありません。
- C: Fraud Detector はクレジット等の不正取引検出専用サービスで、IAM の不正アクセス試行を識別する用途とは異なります。
- D: Trusted Advisor は構成上のベストプラクティス推奨を提示するサービスで、API 呼出履歴の追跡には対応しません。
コメント