みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
书籍
 

理論

セキュリティにおけるAWS IAM資格情報の管理

  1. IAMユーザー資格情報のセキュリティ
      • シークレットアクセスキーアクセスキーIDは、セキュリティ上重要な情報であり、ソースコードにハードコーディングすることは危険です。これが漏洩すると、悪用されるリスクが高まります。
  1. AWS CodeCommitとトリガー
      • CodeCommitは、AWSのGitリポジトリサービスで、コードの管理に使用されます。セキュリティポリシーに基づいて、コードのコミットやプッシュ時にLambda関数をトリガーして、コミット内容をスキャンし、脆弱性(例えば、資格情報の漏洩)を検出することが可能です。
  1. Lambda関数の活用
      • Lambda関数は、サーバーレスでコードを実行できるAWSのサービスです。CodeCommitでコードが更新されるとLambda関数が自動的に実行され、コードの内容をリアルタイムでチェックして、問題があれば即座に対応します。
  1. セキュリティの自動化
      • 自動化されたセキュリティチェックアラートシステムを実装することで、手動での対応を最小限に抑え、迅速に脅威を検出し、対策を講じることができます。これにより、セキュリティ運用の負担が軽減され、リスクが減少します。

実践

一問道場

質問 #242

トピック 1
監査中に、セキュリティチームは開発チームがIAMユーザーのシークレットアクセスキーをコード内に埋め込み、そのコードをAWS CodeCommitリポジトリにコミットしていることを発見しました。セキュリティチームは、このセキュリティ脆弱性を自動的に発見し修正したいと考えています。
どのソリューションが、資格情報を適切に自動で保護することを保証しますか?
A. AWS Systems Manager Run Commandを使用してスクリプトを毎晩実行し、開発インスタンス内で資格情報を検索します。発見した場合は、AWS Secrets Managerを使用して資格情報を回転させます。
B. 定期的にAWS Lambda関数を使用してCodeCommitからアプリケーションコードをダウンロードし、スキャンします。資格情報が見つかった場合は、新しい資格情報を生成し、AWS KMSに保存します。
C. Amazon Macieを設定してCodeCommitリポジトリ内の資格情報をスキャンします。資格情報が見つかった場合は、AWS Lambda関数をトリガーして資格情報を無効化し、ユーザーに通知します。
D. CodeCommitトリガーを設定してAWS Lambda関数を呼び出し、新しいコードの提出を資格情報スキャンします。資格情報が見つかった場合は、AWS IAMでそれを無効化し、ユーザーに通知します。

解説

この問題は、AWS CodeCommitリポジトリにコミットされたIAMユーザーのシークレットアクセスキーを自動的に検出し、修正するソリューションを求めています。以下に選択肢ごとの説明を示します。
A. AWS Systems Manager Run Command
  • インスタンス内の資格情報を検索し、Secrets Managerで資格情報を回転する方法です。
  • 問題点: これはインスタンス内のコードを対象としており、CodeCommitリポジトリ内のコードを監視していません
  • 不適切
B. 定期的にLambdaを実行してCodeCommitをスキャン
  • 定期的にLambda関数を使用してCodeCommitリポジトリのコードをスキャンするアプローチです。
  • 問題点: Lambdaのスキャンがリアルタイムではなく、資格情報がすぐに悪用されるリスクを防げません。また、KMSは資格情報を管理するための直接的なサービスではありません。
  • 不適切
C. Amazon Macieを使用してCodeCommitをスキャン
  • Macieはデータの検出や機密情報の特定には有用ですが、現在のところCodeCommitリポジトリ内のスキャンを直接サポートしていません。また、Lambdaをトリガーする仕組みが明確でない点も課題です。
  • 不適切
D. CodeCommitトリガーとLambdaを使用
  • CodeCommitトリガーを設定することで、新しいコードのコミットが発生した際にリアルタイムでAWS Lambdaを呼び出します。Lambdaは資格情報をスキャンし、IAMで資格情報を無効化してユーザーに通知します。
  • このアプローチは、リアルタイム性が高く、リポジトリのスキャンを自動化する最適な方法です。
  • 適切

正解: D

理由
  • CodeCommitトリガーとLambdaを使用することで、新しいコードの提出を自動的に監視し、即座に対応できます。
  • IAM資格情報を無効化し、ユーザーに通知することでセキュリティリスクを最小限に抑えます。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
243-AWS SAP AWS 「理論・実践・一問道場」S3 Access Points241-AWS SAP AWS 「理論・実践・一問道場」AWS IoT Core
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
35条書面-64問-1
35条書面-64問-1
2025年6月13日
TOKYO自習島
TOKYO自習島
2025年6月10日
平成26年秋期 午後問1
平成26年秋期 午後問1
2025年6月6日
令和5年秋期 午後問1
令和5年秋期 午後問1
2025年6月6日
令和2年秋期 午後問1
令和2年秋期 午後問1
2025年6月6日
業務上の規制-87問-1
業務上の規制-87問-1
2025年6月4日
公告

🎉 欢迎访问我的博客 🎉

🙏 感谢您的支持 🙏

📅 本站自 2024年9月1日 建立,致力于分享在 IT・MBA・不动产中介 等领域的学习与实践,并推动 学习会 的自主开展。
📖 博客语言使用比例
🇯🇵 日语 90% 🇨🇳 中文 8% 🇬🇧 英语 2%

📚 主要内容

💻 IT・系统与开发

  • 系统管理:Red Hat 等
  • 容器与编排:Kubernetes、OpenShift
  • 云计算:AWS、IBM Cloud
  • AI 入门:人工智能基础与实践
  • 技术笔记与考证经验

🏠 不动产 × 宅建士

  • 宅建士考试笔记

🎓 MBA 学习笔记

  • 管理学、经济学、财务分析等

🔍 快速查找内容(标签分类)

由于网站目前没有专门的设计,可能会导致查找信息不便。为了更快找到你感兴趣的内容,推荐使用以下标签功能 进行搜索!
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://www.minami.ac.cn/tag
标签 | みなみの風物詩
📌 定期更新,欢迎常来看看!
📬 有任何建议或想法,也欢迎留言交流!
目录
0%