Question#31(SCS-C01)

ある企業は、新しいサーバーレスアプリケーションを開発しています。このアプリケーションは AWS Lambda 関数を使用し、AWS CloudFormation を使って Lambda 関数をデプロイしています。

開発者はデプロイ済みの Lambda 関数をデバッグしようとしていますが、Lambda 関数が Amazon CloudWatch Logs に出力を記録していないためデバッグできない状況です。 この問題を解決するために、セキュリティエンジニアが取るべき手順の組み合わせはどれでしょうか？（2つ選択）

（2つ選択）

A. CloudFormation テンプレートで定義され、Lambda 関数に渡されるロールを確認する。そのロールがサービスプリンシパル lambda.amazonaws.com による sts:AssumeRole アクションを許可する信頼ポリシーを持っていることを確認する。
B. CloudFormation テンプレートで Lambda 関数に設定されている実行ロールを確認する。その実行ロールが CloudWatch Logs に書き込むために必要な権限を持っていることを確認する。
C. CloudFormation テンプレートでの Lambda 関数の設定を確認する。Lambda 関数が **AWS X-Ray トレーシングの設定（Active モードまたは PassThrough モード）**を持っていることを確認する。
D. CloudFormation テンプレートで Lambda 関数に設定されているリソースポリシーを確認する。そのリソースポリシーが CloudWatch Logs に書き込むために必要な権限を持っていることを確認する。
E. 開発者が Lambda 関数をデバッグする際に使用するロールを確認する。そのロールがサービスプリンシパル lambda.amazonaws.com による sts:AssumeRole アクションを許可する信頼ポリシーを持っていることを確認する。

正解と解説ディスカッション 0

正解：A, B

Lambda関数がAWSリソースとして動作するには、IAMロールにサービスプリンシパルlambda.amazonaws.comがsts:AssumeRoleアクションを実行する権限を持つトラストポリシーが必要です。CloudFormationテンプレートで定義されたロールがこの設定を欠いている場合、Lambda関数はAWSサービスとして動作できず、CloudWatch Logsへのアクセスも失敗します。

Lambda関数の実行ロールには、CloudWatch Logsにログを書き込むための権限が必要です。具体的には、logs:CreateLogGroup、logs:CreateLogStream、およびlogs:PutLogEventsアクションを許可するポリシーが必要です。CloudFormationテンプレートで定義された実行ロールにこれらの権限が欠けている場合、ログ出力が失敗します。

Question#31(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル