SCS-C02#2(security-logging)

ある金融企業は、S3 バケット内の機密オブジェクトに対する GetObject および PutObject の呼び出しをすべて監査する必要があります。現在は管理イベントのみ記録する CloudTrail 証跡が存在します。コンプライアンス要件として、誰がいつどのオブジェクトにアクセスしたかを完全に追跡できる必要があります。どのように構成すべきですか。

A. S3 サーバーアクセスログを有効化し、対象バケットへのすべてのリクエストを別バケットへ記録するよう構成します。
B. S3 イベント通知を構成し、GetObject と PutObject 発生時に SNS にメッセージを送信させます。
C. 既存の CloudTrail 証跡にデータイベントを追加し、対象バケットの読み書きを記録します。
D. AWS Config のリソース設定変更記録を S3 バケットで有効化し、変更履歴を保存します。

正解と解説ディスカッション 0

正解：C

正解の根拠

CloudTrail のデータイベントを既存の証跡に追加することで、S3 オブジェクトレベルの API 呼び出し (GetObject, PutObject など) を呼び出し元アイデンティティ付きで記録できます。これがオブジェクトレベル監査の標準的な仕組みです。

不正解の理由

A: サーバーアクセスログはベストエフォート配信であり、コンプライアンス監査には CloudTrail データイベントが適します。
B: イベント通知は通知用途であり、誰がアクセスしたかの完全な監査証跡にはなりません。
D: AWS Config はリソース構成の変更を記録するもので、オブジェクトアクセス自体は対象外です。

参考：Logging data events

SCS-C02#2(security-logging)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル