type
status
date
slug
summary
tags
category
icon
password
理論
1. AWS CloudTrail
AWS CloudTrailは、AWSアカウントでのAPIコールを監査し、ログとして保存するサービスです。これにより、ユーザーの操作やシステムの変更履歴を記録して、セキュリティ監査やコンプライアンスの要件に対応できます。
- CloudTrailの主要な機能:
- API呼び出しの監査:AWSリソースへのアクセスや変更を追跡します。
- グローバルリソースの管理:すべてのリージョンで同じCloudTrailを設定できます。
- イベントの保存:イベントデータを指定したS3バケットに保存し、長期間保存できます。
2. S3バケットの設定
AWS CloudTrailのログは通常、Amazon S3に保存されます。S3バケットの管理は非常に重要で、以下のセキュリティ設定を適用できます。
- バージョン管理:S3バケットに保存されたデータの過去のバージョンを保持する機能です。データ損失のリスクを軽減し、削除や上書きされたデータも復元可能にします。
- 暗号化:データがS3に保存されるとき、サーバーサイドの暗号化でデータを保護できます。これにより、保存されているログデータを第三者がアクセスできないようにします。
- MFA削除:重要なデータを削除する際に多要素認証(MFA)を要求することで、誤ってまたは不正にデータが削除されるリスクを減少させます。
3. AWS Organizations
AWS Organizationsは、複数のAWSアカウントを一元的に管理するサービスです。これを利用することで、複数のAWSアカウントにまたがる監査や管理が効率的になります。CloudTrailの設定は、組織全体に対して一貫して適用でき、各アカウントのAPIコールも追跡できます。
- 組織単位での管理:CloudTrailを組織単位で設定することで、複数アカウントにまたがるログを一元管理できます。
4. 規制コンプライアンスと監査
多くの業界で、規制要件に基づく監査証跡の保存が求められています。特に金融業界などでは、APIコールの追跡や変更履歴を保持することが義務付けられています。AWS CloudTrailは、こうした規制要件に対応するためのツールです。
- コンプライアンス対応:規制に準拠した監査ログの保存をCloudTrailとS3で簡単に実現できます。
結論
この問題は、最小限の運用負荷でコンプライアンスを満たす方法を問うもので、CloudTrail と S3の管理 による監査ログの取り扱いが重要なポイントです。特に、ログ保存の一貫性とデータ保護の強化(暗号化、MFA削除、バージョン管理)が求められます。
実践
略
一問道場
ある金融サービス会社は、アプリケーションのコンプライアンスを提供するソフトウェア・アズ・ア・サービス(SaaS)プラットフォームを大手グローバル銀行に提供しています。このSaaSプラットフォームはAWS上で実行され、AWS Organizations内で管理されている複数のAWSアカウントを使用しています。また、SaaSプラットフォームは世界中の多くのAWSリソースを利用しています。
規制コンプライアンスのために、AWSリソースへのすべてのAPIコールを監査し、変更を追跡し、耐久性がありセキュアなデータストアに保存する必要があります。
最小の運用負荷でこの要件を満たすソリューションはどれですか?
A. 新しいAWS CloudTrailトレイルを作成します。既存のAmazon S3バケットを組織の管理アカウントで使用してログを保存します。トレイルをすべてのAWSリージョンに展開し、S3バケットでMFA削除と暗号化を有効にします。
B. 組織の各メンバーアカウントに新しいAWS CloudTrailトレイルを作成します。新しいAmazon S3バケットを作成してログを保存します。トレイルをすべてのAWSリージョンに展開し、S3バケットでMFA削除と暗号化を有効にします。
C. 組織の管理アカウントで新しいAWS CloudTrailトレイルを作成します。ログを保存するために新しいAmazon S3バケットを作成し、バージョン管理を有効にします。すべてのアカウントに対してトレイルを展開し、S3バケットでMFA削除と暗号化を有効にします。
D. 組織の管理アカウントで新しいAWS CloudTrailトレイルを作成します。ログを保存するために新しいAmazon S3バケットを作成します。Amazon Simple Notification Service(Amazon SNS)を設定して、ログファイルの配信通知を外部の管理システムに送信し、そのシステムでログを追跡します。S3バケットでMFA削除と暗号化を有効にします。
解説
この問題は、AWSリソースへのAPIコールを監査、追跡、保存する方法に関するもので、特に AWS CloudTrail と Amazon S3 を使用したログ保存についての選択肢が提示されています。要点は、最小限の運用負荷で規制コンプライアンスを満たす方法です。
それぞれの選択肢を見ていきましょう:
A. 新しいAWS CloudTrailトレイルを作成し、既存のS3バケットにログを保存する
- メリット:
- 管理アカウントの既存のS3バケットを利用することで、追加のS3バケットを作成する必要がないため、管理がシンプルになります。
- 複数のAWSリージョンに渡ってトレイルをデプロイし、S3バケットに保存されたログに対してMFA削除と暗号化を有効にすることで、データの保護が強化されます。
- デメリット:
- 複数のアカウントがある場合、既存のS3バケットにログを保存することで、アクセス管理が複雑になる可能性があります。
B. 各メンバーアカウントにCloudTrailトレイルを作成し、個別のS3バケットにログを保存する
- メリット:
- 各アカウントごとに独立したログストレージを使用することで、アカウント間でのデータ管理やアクセス制御がしやすくなります。
- デメリット:
- 複数のS3バケットを管理する必要があり、運用負荷が増大します。特に大規模な環境では、トレイルやバケットの数が増え、管理が煩雑になります。
C. 組織の管理アカウントにCloudTrailトレイルを作成し、S3バケットでバージョン管理を有効にする
- メリット:
- 組織全体で統一されたログ保存先を使用することで、監査・管理が簡素化されます。バージョン管理を有効にすることで、ログの整合性を確保できます。
- S3の暗号化とMFA削除の設定により、高いセキュリティが確保されます。
- デメリット:
- 他のアカウントで発生したログがすべて1つのS3バケットに保存されるため、アクセス制御を適切に行わなければ情報漏洩のリスクが高まります。
D. CloudTrailトレイルを作成し、SNSで外部システムに通知を送信する
- メリット:
- SNSを使って外部の管理システムに通知を送ることで、システムがログを即時に受け取ることができます。これにより、外部監視ツールでログ追跡が可能になります。
- デメリット:
- SNSによる通知の仕組み自体は便利ですが、外部システムに依存するため、システムの構築や運用が追加の負担になります。また、SNSの設定も必要です。
最も適切な選択肢:
C. 組織の管理アカウントに新しいAWS CloudTrailトレイルを作成し、S3バケットでバージョン管理を有効にする
理由:
- 最も簡単でスケーラブルな解決策です。組織全体で統一されたS3バケットを使用し、ログのバージョン管理を有効にすることで、データの整合性を保ちながら、運用負荷を最小化できます。
- MFA削除と暗号化を有効にすることで、データの保護も強化されます。
他の選択肢は管理が複雑になったり、追加の運用負担が増えたりするため、最小の運用負荷を実現するCが最適です。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/178d7ae8-88e2-8068-b20a-c125afc49a0e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
