CLF-C02#127(Security)
企業がAWSアカウントのアクティビティを追跡し、AWSリソースに対してAPI呼び出しが行われたときを知る必要があります。この要件を満たすために使用できるAWSツールまたはサービスはどれですか?
正解:C
正解の根拠
AWS CloudTrail は管理イベントとデータイベントを記録し、AWS リソースに対する API 呼び出しの「いつ、誰が、何を、どこから」を時系列で確認できます。S3 への証跡保管や CloudWatch Logs と連携したアラート、Athena によるクエリも可能です。
監視サービスの比較
| サービス | 主目的 |
|---|---|
| CloudTrail | API 呼び出し監査 |
| CloudWatch | メトリクス/ログ/アラーム |
| Inspector | 脆弱性スキャン |
| IAM | 権限管理 |
不正解の理由
- A: CloudWatch はメトリクスやログ用で、API 呼び出しを系統立てて監査する設計ではありません。
- B: Inspector は脆弱性検査用で、API トラッキングは行いません。
- D: IAM はアクセス制御サービスで、呼び出し履歴の記録は行いません。
コメント