Question#18(SCS-C01)

ある会社は、Amazon Elastic Kubernetes Service (Amazon EKS) と Amazon Aurora を利用して AWS 上でマイクロサービスアーキテクチャを運用しています。会社は AWS Organizations を使用して数百の AWS アカウントを管理しており、それぞれ異なるマイクロサービスをホストしています。

会社は、すべてのアカウントにわたる AWS リソースのログ監視ソリューションを実装する必要があります。ソリューションには、セキュリティ関連の問題を自動検出する機能を含める必要があります。 最小の運用労力で要件を満たすソリューションはどれですか？

A. 組織の管理アカウントで Amazon GuardDuty 管理者アカウントを指定する。すべてのアカウントで GuardDuty を有効化する。GuardDuty 管理者アカウントで EKS 保護と RDS 保護を有効化する。
B. モニタリングアカウントを指定する。すべてのアカウントから Amazon CloudWatch Logs を共有してモニタリングアカウントに集約する。Aurora を設定してすべてのログを CloudWatch に発行する。Amazon Inspector をモニタリングアカウントで実行し、CloudWatch Logs を評価する。
C. 組織の管理アカウントに集中管理用の Amazon S3 バケットを作成する。すべてのアカウントで AWS CloudTrail を設定し、CloudTrail ログを S3 バケットに配信する。Aurora を設定してすべてのログを CloudTrail に発行する。Amazon Athena を使用して S3 バケットの CloudTrail ログをクエリし、セキュリティ問題を検出する。
D. モニタリングアカウントを指定する。すべてのアカウントから Amazon CloudWatch Logs を共有してモニタリングアカウントに集約する。CloudWatch Logs に Amazon Kinesis データストリームをサブスクライブする。データストリーム内のログレコードを処理する AWS Lambda 関数を作成し、セキュリティ問題を検出する。

正解と解説ディスカッション 0

正解：A

解説

要件のキーワード
- 「すべてのアカウントにわたる監視」 → AWS Organizations と統合できるサービスが必要。
- 「セキュリティ関連の問題を自動検出」 → Amazon GuardDuty がネイティブに提供。
- 「最小の運用労力」 → フルマネージドでセットアップ容易なサービスが最適。
Amazon GuardDuty
- 脅威検出サービス。ログ（VPC Flow Logs、CloudTrail、DNS Logs、EKS Audit Logs など）を自動的に分析してセキュリティ問題を検出。
- Organizations と統合でき、委任管理者アカウントを指定すれば、全アカウントに対して集中管理可能。
- EKS Protection → Kubernetes の不審な API コール検出。
- RDS Protection → Aurora や RDS に対する不審な動作検出。
- 要件に完全一致。

Question#18(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル