Question#20(SCS-C01)

ある会社には、ルート認証情報を使用することを禁止する厳格なポリシーがあります。セキュリティチームは、ルート認証情報が AWS マネジメントコンソールへのサインインに使用された際に、できるだけ早くアラートを受け取りたいと考えています。

この要件を満たすには、どのようにすべきですか？

A. AWS Lambda を使用して定期的に AWS CloudTrail に対してコンソールログインイベントをクエリし、Amazon Simple Notification Service (Amazon SNS) を使用してアラートを送信する。
B. Amazon EventBridge を使用してコンソールログインを監視し、Amazon Simple Notification Service (Amazon SNS) に転送する。
C. Amazon Athena を使用して AWS IAM Identity Center のログをクエリし、ルートログインイベントに対して Amazon Simple Notification Service (Amazon SNS) を使用してアラートを送信する。
D. AWS Resource Access Manager を構成してアクセスログを確認し、Amazon Simple Notification Service (Amazon SNS) を使用してアラートを送信する。

正解と解説ディスカッション 0

正解：B

理由

ルートユーザーのコンソールサインインは CloudTrail の管理イベント（ConsoleLogin）として即時に発生します。
EventBridge ルールで detail.eventName = "ConsoleLogin" かつ detail.userIdentity.type = "Root" を条件にし、ターゲットを SNS にすれば、発生直後にアラートできます（ポーリング不要・最短遅延）。

例：EventBridge イベントパターン（抜粋）

{
  "source": ["aws.signin"],
  "detail-type": ["AWS Console Sign In via CloudTrail"],
  "detail": {
    "eventName": ["ConsoleLogin"],
    "userIdentity": { "type": ["Root"] }
  }
}

（必要に応じて responseElements.ConsoleLogin = "Success" で成功時のみに絞り込めます。）

Question#20(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル