A正解
AWS IAM
正解。AWS IAM は、ロールとポリシーで『誰が・どのリソースに・何を』できるかを定義します。本問の『アクセスを最小権限で制御する』という要件に直接対応します。
ある企業が、Bedrock を使う AI システムのセキュリティを強化しています。要件は、S3 に保存した学習データに含まれる個人情報などの機密データを検出すること、および AI リソースへのアクセスを最小権限で制御することです。この要件に対応する AWS サービスを 2 つ選んでください。
1 / 1
複数選択してください
正解A, E
解説
2 つのセキュリティ要件に対応するサービスを選ぶ問題。
- 1「機密データを検出する」S3 の個人情報の発見=Amazon Macie
- 2「最小権限で制御する」誰が何をできるかの定義=AWS IAM
B不正解
Amazon GuardDuty
Amazon GuardDuty は、アカウントやワークロードへの脅威(不審なアクティビティ)を検出するサービスです。
セキュリティサービスですが、検出するのは脅威であって S3 内の機密データではなく、アクセス制御も行わないため、本問の 2 つの要件のどちらにも該当せず不正解です。
C不正解
AWS CloudTrail
AWS CloudTrail は、API 操作の履歴を記録する監査向けサービスです。
誰が何をしたかを後から追跡できますが、操作を事前に許可・拒否する制御や機密データの検出は行わないため、本問の要件には該当せず不正解です。
D不正解
Amazon Inspector
Amazon Inspector は、EC2 やコンテナイメージなどのソフトウェアの脆弱性を自動スキャンするサービスです。
セキュリティサービスですが、対象は脆弱性であって機密データの検出やアクセス制御ではないため、本問の要件には該当せず不正解です。
E正解
Amazon Macie
正解。Amazon Macie は、ML とパターンマッチングで S3 上の個人情報などの機密データを検出・分類するサービスです。本問の『機密データを検出する』という要件に直接対応します。
ポイント
セキュリティサービスは『何を対象に・何をするか』で見分けます。
・IAM: 権限の定義(事前の制御)。
・Macie: S3 の機密データを検出・分類。
・GuardDuty: 脅威(不審な挙動)の検出。
・CloudTrail: API 操作の記録(事後監査)。
・Inspector: ソフトウェアの脆弱性スキャン。
全部セキュリティ系で混同しやすいので、要件の動詞(検出する対象・制御するもの)と突き合わせて選びます。