Question#54(SCS-C01)
セキュリティエンジニアは、特定の AWS リソースに対する構成変更を評価し、そのリソースがコンプライアンス標準を満たしていることを確認したいと考えています。しかし、短時間に複数の構成変更が行われる場合を懸念しています。セキュリティエンジニアは、一連の変更の累積的な影響を示すために、そのリソースの最新の構成だけを記録したいと考えています。
この要件を最も運用効率の高い方法で満たすソリューションはどれですか。正解:B
AWS Config はリソースの構成を継続的に記録し、最新構成と変更履歴を保存します。複数の変更が続いた場合でも、最新のリソース状態を直接確認できるため、要件に最も適合します。
AWS Config は AWS リソースの構成変更を検出し、構成履歴と最新の設定を記録するマネージドサービス です。Config は短時間に複数の変更があった場合でも、リソースのスナップショットとして最新状態を常に保持します。そのため「累積的な影響を表す最新構成のみを評価」する要件に直接適合します。
一方、CloudTrail や CloudWatch は API 呼び出しのイベントを個別に記録するだけであり、累積的な「最新の構成状態」を自動的に計算して保持する機能はありません。Cloud Map はサービスディスカバリ用であり、このユースケースには不適切です。 したがって、最も運用効率が高い解は AWS Config です。
コメント