Question#16(SCS-C01)
ある会社は AWS Organizations を使用しており、各事業部門専用のアカウントがあります。会社はすべての AWS CloudTrail ログをトップレベルアカウントの Amazon S3 バケットに集約しています。IT ガバナンスチームはトップレベルアカウントにアクセスできます。セキュリティエンジニアは、各事業部門が自分の CloudTrail ログにアクセスできるようにする必要があります。
セキュリティエンジニアはトップレベルアカウントに、各事業部門アカウント用の IAM ロールを作成しました。各ロールには、その事業部門用のログプレフィックスを持つ S3 オブジェクトに対する読み取り専用権限を付与しました。 質問: 各事業部門アカウントの IAM ユーザーがログを読めるようにするために、事業部門アカウントごとにセキュリティエンジニアが行うべきアクションは何ですか?正解:A
- ログを格納しているのは トップレベルアカウントの S3 バケット。
- 各事業部門アカウントのユーザーが直接アクセスすることはできないため、クロスアカウントアクセスが必要。
- そのためにセキュリティエンジニアはトップレベルアカウントに IAM ロールを作成し、信頼ポリシーで該当の事業部門アカウントをプリンシパルとして指定済み。
- 事業部門アカウントの IAM ユーザーがログを読めるようにするには、ユーザーに AssumeRole 権限を与え、そのロールの ARN を指定してセッションを開始させる必要がある。
コメント