Question#55(SCS-C01)
ある企業は、AWS Organizationsを使用して、Production、Development、Testingの3つのワークロードOUで構成される組織を管理しています。企業は、AWSアカウントに関連付けられたOUでワークロードインフラストラクチャを定義およびデプロイするためにAWS CloudFormationテンプレートを使用しています。各ワークロードOUに異なるSCP(サービスコントロールポリシー)がアタッチされています。企業は、Development OUおよびTesting OUのワークロードに対してCloudFormationスタック更新を正常にデプロイしました。しかし、同じCloudFormationテンプレートを使用してProduction OU内のアカウントでスタック更新をデプロイしようとしたところ、更新が失敗しました。エラーメッセージは、IAM権限が不足していることを報告しています。セキュリティエンジニアがこの問題をトラブルシューティングする際に最初に取るべきステップは何ですか?
正解:A
AWS CloudTrailログを確認し、Production OU内のアカウントでCloudFormationデプロイメント試行中に失敗したAPI呼び出し(例:CreateStack、UpdateStack、またはリソース固有のAPI)を検索することは、問題の原因を特定する最初のステップとして最適です。エラーメッセージが「IAM権限が不足している」と報告しているため、CloudTrailログでどの権限が欠けているか(例:iam:PassRoleやec2:RunInstances)を確認できます。設定手順:
- CloudTrailコンソールまたはCloudWatch Logs InsightsでAPIイベントをフィルタリング。
- 失敗したイベント(errorCodeやerrorMessage)を特定。 この方法は、SCPやロールの設定を変更する前に問題の範囲を把握でき、運用効率が高いです。したがって、選択肢Aが正解です。
コメント