1 / 63 モニタリングとロギング
A company has multiple accounts in an organization in AWS Organizations. The company's SecOps team needs to receive an Amazon Simple Notification Service (Amazon SNS) notification if any account in the organization turns off the Block Public Access feature on an Amazon S3 bucket. A DevOps engineer must implement this change without affecting the operation of any AWS accounts. The implementation must ensure that individual member accounts in the organization cannot turn off the notification. Which solution will meet these requirements?
企業は AWS Organizations の組織内に複数のアカウントを持っています。会社の SecOps チームは、組織内のいずれかのアカウントが Amazon S3 バケットのパブリック アクセスのブロック機能をオフにした場合、Amazon Simple Notice Service (Amazon SNS) 通知を受け取る必要があります。 DevOps エンジニアは、AWS アカウントの運用に影響を与えることなく、この変更を実装する必要があります。実装では、組織内の個々のメンバー アカウントが通知をオフにできないようにする必要があります。これらの要件を満たすソリューションはどれですか?
次のうち、正しいものを1つ選んでください。
A Designate an account to be the delegated Amazon GuardDuty administrator account. Turn on GuardDuty for all accounts across the organization. In the GuardDuty administrator account, create an SNS topic. Subscribe the SecOps team's email address to the SNS topic. In the same account, create an Amazon EventBridge rule that uses an event pattern for GuardDuty findings and a target of the SNS topic.
委任された Amazon GuardDuty 管理者アカウントとなるアカウントを指定します。組織全体のすべてのアカウントに対して GuardDuty を有効にします。 GuardDuty 管理者アカウントで、SNS トピックを作成します。 SecOps チームの電子メール アドレスを SNS トピックに登録します。同じアカウントで、GuardDuty の検出結果と SNS トピックのターゲットのイベント パターンを使用する Amazon EventBridge ルールを作成します。 A B Create an AWS CloudFormation template that creates an SNS topic and subscribes the SecOps team’s email address to the SNS topic. In the template, include an Amazon EventBridge rule that uses an event pattern of CloudTrail activity for s3:PutBucketPublicAccessBlock and a target of the SNS topic. Deploy the stack to every account in the organization by using CloudFormation StackSets.
SNS トピックを作成し、SecOps チームの電子メール アドレスを SNS トピックにサブスクライブする AWS CloudFormation テンプレートを作成します。テンプレートには、s3:PutBucketPublicAccessBlock の CloudTrail アクティビティのイベント パターンと SNS トピックのターゲットを使用する Amazon EventBridge ルールを含めます。 CloudFormation StackSets を使用して、組織内のすべてのアカウントにスタックをデプロイします。 B C Turn on AWS Config across the organization. In the delegated administrator account, create an SNS topic. Subscribe the SecOps team's email address to the SNS topic. Deploy a conformance pack that uses the s3-bucket-level-public-access- prohibited AWS Config managed rule in each account and uses an AWS Systems Manager document to publish an event to the SNS topic to notify the SecOps team.
組織全体で AWS Config を有効にします。委任された管理者アカウントで、SNS トピックを作成します。 SecOps チームの電子メール アドレスを SNS トピックに登録します。各アカウントで s3-bucket-level-public-access-禁制の AWS Config 管理ルールを使用する適合パックをデプロイし、AWS Systems Manager ドキュメントを使用してイベントを SNS トピックに公開し、SecOps チームに通知します。 C D Turn on Amazon Inspector across the organization. In the Amazon Inspector delegated administrator account, create an SNS topic. Subscribe the SecOps team’s email address to the SNS topic. In the same account, create an Amazon EventBridge rule that uses an event pattern for public network exposure of the S3 bucket and publishes an event to the SNS topic to notify the SecOps team.
組織全体で Amazon Inspector を有効にします。 Amazon Inspector の委任管理者アカウントで、SNS トピックを作成します。 SecOps チームの電子メール アドレスを SNS トピックに登録します。同じアカウントで、S3 バケットのパブリック ネットワーク公開のイベント パターンを使用する Amazon EventBridge ルールを作成し、イベントを SNS トピックに公開して SecOps チームに通知します。 D
