ある企業が、S3 バケットに保存されている機密データへのアクセスをログに記録したい。誰がいつどのオブジェクトにアクセスしたかを追跡できるようにし、コンプライアンス監査に対応する必要がある。最小限のコストで実現する最も適切なソリューションはどれか。
- A. S3 バケットのサーバーアクセスログを有効化して別の S3 バケットに出力し、Amazon Athena でクエリ可能にする。
- B. AWS CloudTrail でデータイベント(S3 オブジェクトレベルのログ)を有効化して S3 に記録し、S3 コンソールまたは Athena で検索できるようにする。
- C. Amazon Macie を有効化して S3 バケットの機密データアクセスを検知する。
- D. VPC フローログを有効化して S3 への通信フローを記録する。
解答と解説を見る
正解: B
AWS CloudTrail のデータイベントを有効化(S3 の GetObject、PutObject、DeleteObject 等)すると、誰が(IAM エンティティ)、いつ、どのオブジェクトにアクセスしたかを含む詳細なログが S3 に保存される。CloudTrail Insights や Athena を使って検索・分析が可能で、コンプライアンス監査の証跡として活用できる。選択肢Aのサーバーアクセスログも有効な手段だが、ログのフォーマットが CloudTrail と異なり、IAM ユーザー情報(誰がアクセスしたか)が含まれるが、CloudTrail の方が IAM エンティティの追跡が詳細である。コンプライアンス要件では CloudTrail のデータイベントが一般的に推奨される。選択肢DのVPC フローログはIP レベルのネットワーク通信を記録するもので、どの IAM エンティティがオブジェクトにアクセスしたかは追跡できない。選択肢CのMacie は機密データの分類・検出サービスであり、リアルタイムアクセスログの記録には使用しない。
📚 関連サービスの解説: AWS CloudTrail ・ Amazon S3