AWS CloudTrailとは
AWSアカウント内のすべてのAPIコール(管理イベント・データイベント)を記録して監査証跡を提供するサービス。誰が・いつ・どのリソースに・何をしたかをS3に保存し、Athenaで検索・分析できる。
デフォルトで管理イベント(コントロールプレーン操作)を90日間保持する。長期保存にはS3への配信を設定し、CloudWatch Logsへの統合でリアルタイムアラートを実装できる。
試験での問われ方
SAAでは「誰がEC2を削除したか調査したい」「不審なAPIコールをアラートしたい」シナリオでCloudTrailを選ぶ。CloudWatchとの違いはCloudTrailがAPI監査ログ、CloudWatchがパフォーマンス監視・ログ収集という役割分担。
CloudTrailログのS3保存における整合性検証(ログファイルバリデーション)・KMS暗号化・クロスアカウントへの証跡配信がSCSで問われる。
データイベント(S3オブジェクトレベル操作・Lambda呼び出し)は別途有効化が必要でコストが発生する点が引っかけ。
このサービスが登場する演習問題(12問)
- 【CLF-C02】ある企業のエンジニアが、AWSアカウントでどのAPIコールがいつ誰によって実行されたかを追跡・監査したいと考えています。…
- 【CLF-C02】ある企業が、AWSのセキュリティベストプラクティスに従ってAWSアカウントを設定しています。初期設定として優先度が高いセ…
- 【CLF-C02】ある企業が、本番AWSアカウントでの不審な活動を調査しています。セキュリティインシデントの調査に役立つAWSサービスを2…
- 【AIF-C01】ある企業が AWS 上の AI ワークロードについて、いつ誰がどの API を呼び出したかを完全に追跡したい。最小限の追…
- 【AIF-C01】ある企業の AI セキュリティチームが、本番の SageMaker エンドポイントへの API 呼び出しを長期間保持して…
- 【AIF-C01】ある企業が AWS 上で大規模な機械学習プラットフォームを構築・運用している。監査部門から「AI モデルのデプロイ履歴と…
- 【SAA-C03】ある企業が、機密性の高いワークロードを EC2 インスタンス上で実行している。セキュリティチームから、AWS リソースへ…
- 【SAA-C03】ある企業が、S3 バケットに保存されている機密データへのアクセスをログに記録したい。誰がいつどのオブジェクトにアクセスし…
- 【SAP-C02】ある企業が AWS KMS でカスタマー管理キー(CMK)を使って S3 バケット内のデータを暗号化しています。コンプラ…
- 【SAP-C02】ある企業が AWS Organizations を使って管理しているマルチアカウント環境で、各開発チームが自律的に AW…
- 【SAP-C02】ある企業が AWS 上でマルチリージョンのアプリケーションを運用しており、各リージョンのアプリケーションが独自の設定(フ…
- 【SAP-C02】ある企業が AWS 上で稼働するアプリケーションについて、セキュリティチームから「GitHub リポジトリに AWS の…