みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

IAM Access Analyzer と EventBridge の基本

  • IAM Access Analyzer: AWS リソースのポリシーを分析し、意図しない公開を検出します。
    • 特長: S3バケットの公開状態を含むアクセスリスクをリアルタイムで通知。
    • 適用例: バケットが公開された場合に特定のアクションを実行する自動化。
  • Amazon EventBridge: AWS サービス間でイベントを統合するサービス。
    • 特長: IAM Access Analyzer のイベントをトリガーとして、通知やアクションを設定可能。
    • 設定例: "isPublic:true" イベントをSNSトピックに通知するルールを作成。
これにより、組織のセキュリティ監視を効率的に強化できます。

実践

IAM Access AnalyzerをAmazon EventBridgeで監視してAmazon SNSで通知する #reinvent | DevelopersIO
IAM Access Analyzerはただ有効化するだけでも一定の効果はありますが、やはり検知したら通知してほしいですよね。そんなわけでAmazon EventBridgeおよびAmazon SNSと連携して通知を受け取る設定をやってみました。
IAM Access AnalyzerをAmazon EventBridgeで監視してAmazon SNSで通知する #reinvent | DevelopersIO
https://dev.classmethod.jp/articles/reinvent2019-aws-iam-access-analyzer-monitoring-with-amazon-eventbridge/
IAM Access AnalyzerをAmazon EventBridgeで監視してAmazon SNSで通知する #reinvent | DevelopersIO

一問道場

企業は新たに取得したAWSアカウントのセキュリティ姿勢を監査する必要があります。企業のデータセキュリティチームは、Amazon S3バケットが公開される場合のみ通知を受け取ることを要求しています。企業はすでにデータセキュリティチームのメールアドレスが登録されたAmazon Simple Notification Service(Amazon SNS)トピックを確立しています。
どのソリューションがこの要件を満たしますか?

A

すべてのS3バケットに対してisPublicイベントのS3イベント通知を作成します。SNSトピックをイベント通知のターゲットとして選択します。

B

AWS Identity and Access Management(IAM)Access Analyzerでアナライザーを作成します。「Access Analyzer Finding」イベントタイプのAmazon EventBridgeルールを作成し、「isPublic:true」のフィルターを設定します。SNSトピックをEventBridgeルールのターゲットとして選択します。

C

「Bucket-Level API Call via CloudTrail」イベントタイプのAmazon EventBridgeルールを作成し、「PutBucketPolicy」のフィルターを設定します。SNSトピックをEventBridgeルールのターゲットとして選択します。

D

AWS Configを有効にし、cloudtrail-s3-dataevents-enabledルールを追加します。「Config Rules Re-evaluation Status」イベントタイプのAmazon EventBridgeルールを作成し、「NON_COMPLIANT」のフィルターを設定します。SNSトピックをEventBridgeルールのターゲットとして選択します。

解説

この問題の目的は、Amazon S3バケットが公開されるときに通知を受け取る方法を提供することです。要件に従って、正しいソリューションを選ぶために、それぞれのオプションを分析していきます。

オプションの分析

A. S3イベント通知を作成

  • 解説: S3イベント通知は、S3バケットに対して特定のアクション(例えば、isPublic イベント)を監視する方法ですが、Amazon S3自体には「isPublic」という標準的なイベントが存在しません。そのため、このオプションは適切ではありません。

B. IAM Access AnalyzerとEventBridgeルールの作成

  • 解説: IAM Access Analyzerは、アクセス制御ポリシーを分析し、リソースの公開状態を評価します。isPublic:trueというフィルターを使って、バケットが公開されるイベントを監視することができます。この方法は、要件に合致しており、SNSトピックに通知を送信するため、正しい選択肢です。

C. CloudTrailを使ったAPIコールの監視

  • 解説: CloudTrailのPutBucketPolicyイベントは、S3バケットポリシーが変更された際に発生しますが、公開設定が行われたかどうかを確認するためには、ポリシー自体の内容を解析する必要があります。直接的に「公開された」かどうかを検出するわけではないため、このオプションは不適切です。

D. AWS ConfigとEventBridgeルールの作成

  • 解説: AWS Configはリソースの設定を監視し、変更があった場合に通知を送信します。しかし、「NON_COMPLIANT」の状態はリソースがAWS Configのルールに違反したときに通知されるもので、公開されたS3バケットを特定するための専用のルールが必要です。したがって、このオプションも適切ではありません。

結論

最も適切な解決策は B です。AWS IAM Access Analyzerを使用して、バケットが公開されているかどうかを検出し、EventBridgeを使って通知を送信できます。このアプローチは、公開状態に関する要件を満たす最も効率的な方法です。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
174-AWS SAP AWS 「理論・実践・一問道場」AWS Migration Hub172-AWS SAP AWS 「理論・実践・一問道場」
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%