AWS認定資格 WEB問題集&徹底解説
SysOpsアドミニストレーター -アソシエイト
解説
D: これが正解です。S3バケットのアクセスログを有効にすることで、バケットへのアクセス試行(失敗を含む)を記録できます。ログを別のS3バケットに保存し、そのバケットでS3 Object Lockを有効にすることで、90日間ログを上書きや削除から保護できます。これにより、全ての要件を満たします。
A: この方法ではCloudTrailを使用しますが、CloudTrailはS3バケットへの認証失敗を詳細に記録するようには設計されていません。また、CloudWatch Logsでは必要な90日間の上書き・削除保護を確実に提供できません。
B: CloudTrailを使用する点でAと同様の問題があります。さらに、ログファイルの整合性検証は改ざんの検出には有効ですが、上書きや削除の防止には十分ではありません。
C: S3アクセスログを使用する点では適切ですが、CloudWatch Logsでは90日間の確実な上書き・削除保護を提供できません。CloudWatch Logsの保存期間設定は、ログの自動削除を防ぐだけで、手動での削除や変更を防ぐものではありません。
Amazon Simple Storage Service (Amazon S3)
AWS CloudTrail
A: この方法ではCloudTrailを使用しますが、CloudTrailはS3バケットへの認証失敗を詳細に記録するようには設計されていません。また、CloudWatch Logsでは必要な90日間の上書き・削除保護を確実に提供できません。
B: CloudTrailを使用する点でAと同様の問題があります。さらに、ログファイルの整合性検証は改ざんの検出には有効ですが、上書きや削除の防止には十分ではありません。
C: S3アクセスログを使用する点では適切ですが、CloudWatch Logsでは90日間の確実な上書き・削除保護を提供できません。CloudWatch Logsの保存期間設定は、ログの自動削除を防ぐだけで、手動での削除や変更を防ぐものではありません。
関連サービスの解説
Amazon CloudWatchAmazon Simple Storage Service (Amazon S3)
AWS CloudTrail
+ 質問 / コメント
解答・解説に疑問がある場合や、よりよい解説がある場合など、お気軽にコメントください。ただし、短文コメントは表示されません。また、中傷などコメントの内容によっては、会員機能を停止させて頂きます。教え学び合える場になれば嬉しいです。(コメント投稿にはログインが必要です)
正答率 66%
No.49 解説
ある企業では、機密情報を含むプライベートなAmazon S3バケットを持っています。SysOps管理者は、バケット内のオブジェクトにアクセスしようとした結果、認証に失敗したIPアドレスのログを保持する必要があります。ログは90日間上書きや削除ができないように保存する必要があります。どのソリューションがこれらの要件を満たしますか?
- AWS CloudTrailの証跡を作成します。Amazon CloudWatch Logsに保存するログファイルを設定します。保存期間を90日に設定したロググループを構成します。
- AWS CloudTrailの証跡を作成します。ログファイルを別のS3バケットに保存するように設定します。CloudTrailのログファイルの整合性検証を90日間ONにします。
- S3バケットのアクセスログをONにします。Amazon CloudWatch Logsにアクセスログを保存するよう設定します。ロググループの保存期間を90日に設定します。
- S3バケットのアクセスログをONにします。2つ目のS3バケットにアクセスログを保存するよう設定します。2つ目のS3バケットでS3 Object LockをONにし、デフォルトの保存期間を90日に設定します。