T1-Q27: 全アカウントのCloudTrail統制はSCPで削除禁止よりOrganization Trailを先に作る
CloudTrail集中ログ保管でSCPによる削除禁止を選んだ誤答を、組織証跡の責務で切り直す。
AWS SCS-C03 CloudTrail Organizations Logging
対象誤答: T1 Q27 CLOUDTRAIL ORGANIZATION TRAIL
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | SCPでcloudtrail:Delete*やcloudtrail:StopLoggingを拒否し、既存設定を守る。 |
| 正答 | Organizationsの管理アカウントで既存のCloudTrailを編集し、組織全体に適用する。 |
| 誤答の引力 | ログの改ざん防止に寄りすぎて、そもそも全アカウントに一貫した証跡を作る要件を落としている。 |
| 判断軸 | 全アカウント・全リージョンの統一ログ戦略はOrganization Trail。SCPは補助的な防御であり、証跡作成そのものではない。 |
この問題の芯
T1-Q27 は CloudTrail の集中ログ保管と Organizations 配下の全アカウント統制。あなたは SCP で CloudTrail の削除や停止を禁止する選択肢を選んだ。正答は、管理アカウントの既存Trailを組織全体へ適用すること。
SCPは守る道具、Organization Trailは集める道具
SCPで cloudtrail:StopLogging や cloudtrail:DeleteTrail を拒否するのは、防御としては有効。ただしそれだけでは、メンバーアカウントの全イベントを中央S3へ継続的に届ける設定にはならない。
Organization Trail は、管理アカウントとメンバーアカウントのCloudTrailイベントを、同じS3バケットやCloudWatch Logsへ配信するための組織単位の証跡。メンバーアカウント側から勝手に変更できない統制にもつながる。
問題文をこう切る
| 要件 | 主役 |
|---|---|
| 全AWSアカウントでCloudTrailを有効化 | Organization Trail |
| メンバーアカウントが削除できない | Organization Trailの管理境界 + 必要ならSCP |
| ログファイルの改ざん検知 | CloudTrail log file validation |
| ログバケットの削除保護 | S3 Object Lock / バケットポリシー |
次回の秒殺ルール
CloudTrail + Organizations + 全アカウント = Organization Trail。
SCPは「禁止」の道具であって、「全アカウントからログを集める」主役ではない。
仕上げの一問一答
- この問題の主語は何か: Organizations
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。