MENU

会員登録（無料）

Question#17(SCS-C01)

この問題のディスカッション

Question#17(SCS-C01)

ある会社は AWS Organizations を使用して組織を構成しています。AWS CloudTrail はすべてのリージョンで有効になっています。

セキュリティエンジニアは、CloudTrail が無効化されるのを防ぐソリューションを実装しなければなりません。どのソリューションがこの要件を満たしますか？

A. 組織の管理アカウントから CloudTrail のログファイル整合性検証を有効化する。
B. CloudTrail ログのサーバーサイド暗号化（SSE-KMS）を有効化する。KMS キーを作成し、そのキーにログの復号を防ぐポリシーをアタッチする。
C. SCP を作成し、StopLogging アクションと DeleteTrail アクションに対して明示的な Deny ルールを含める。その SCP をルート OU にアタッチする。
D. すべてのユーザーに対して IAM ポリシーを作成し、DescribeTrails アクションと GetTrailStatus アクションを実行できないようにする。

正解と解説ディスカッション 0

正解：C

要件: CloudTrail を「止める（StopLogging）」または「削除（DeleteTrail）」されないようにする。
SCP (サービスコントロールポリシー)
- AWS Organizations で組織全体に適用可能。
- 明示的に Deny を設定することで、対象アカウントのどの IAM ユーザーやロールであっても、そのアクションを実行できなくなる。
- これにより CloudTrail を無効化する操作を防止できる。

コメント

コメント

コメントするコメントをキャンセル