CLF-C02#161(Security)
企業にAWSアカウントがあります。企業はコンプライアンス目的で、パスワードとアクセスキーのローテーションの詳細を監査したいと考えています。この要件を満たすAWSサービスまたはツールはどれですか?
正解:C
正解の根拠
IAM 認証情報レポート(Credential Report)はアカウント内のすべての IAM ユーザーと、パスワード・アクセスキーの状態(最終使用日、ローテーション日時、MFA 有効化など)を CSV 形式で出力します。コンプライアンス監査ではこのレポートにより、ローテーションが規定どおり行われているかを一覧で確認できます。
監査関連サービスの比較
| サービス | 主用途 |
|---|---|
| IAM 認証情報レポート | パスワード/アクセスキーの状態と最終ローテーションの一覧 |
| IAM Access Analyzer | 外部共有リソースの検出 |
| AWS Artifact | AWS の第三者監査レポート提供 |
| Audit Manager | コンプライアンス証跡の自動収集 |
不正解の理由
- A: Access Analyzer は外部公開ポリシーの検出が目的で、認証情報のローテーション監査は対象外です。
- B: Artifact は SOC や ISO など AWS 側の監査レポートを取得する場であり、顧客側 IAM の監査は行えません。
- D: Audit Manager は統制証跡の自動化が主で、ユーザー単位の認証情報状態を直接示しません。
コメント