Q11 — AWS DOP-C02 第1章
第 11/100 問 | ← 第1章
ある企業は単一のAWSアカウントを1つのAWSリージョンで運用しており、数百台のAmazon EC2インスタンスを実行しています。同社は毎日多数の新しいEC2インスタンスを起動・終了させています。このアカウントには、1週間以上継続して実行される既存のEC2インスタンスも含まれます。 セキュリティポリシーでは、実行中のすべてのEC2インスタンスにEC2インスタンスプロファイルがアタッチされている必要があります。企業は既にデフォルトのEC2インスタンスプロファイルを作成済みであり、このデフォルトプロファイルは、プロファイルがアタッチされていない任意のEC2インスタンスに自動的にアタッチされるように設定されています。
- A. Amazon EC2のRunInstances API呼び出しに一致するAmazon EventBridgeルールを設定します。このルールを、デフォルトのインスタンスプロファイルをEC2インスタンスにアタッチするAWS Lambda関数を呼び出すように構成します。
- B. AWS Configを設定します。AWS ConfigのEC2インスタンスプロファイルアタッチ管理ルールをデプロイします。自動修復アクションを構成し、AWS Systems Manager Automationランブックを呼び出してデフォルトのインスタンスプロファイルをEC2インスタンスにアタッチします。 ✓
- C. Amazon EC2のStartInstances API呼び出しに一致するAmazon EventBridgeルールを設定します。このルールを、AWS Systems Manager Automationランブックを呼び出してデフォルトのインスタンスプロファイルをEC2インスタンスにアタッチするように構成します。
- D. AWS Configを設定します。AWS Configのロール管理ポリシーチェック管理ルールをデプロイします。自動修復アクションを構成し、デフォルトのインスタンスプロファイルをEC2インスタンスにアタッチするAWS Lambda関数を呼び出します。
正解: B. AWS Configを設定します。AWS ConfigのEC2インスタンスプロファイルアタッチ管理ルールをデプロイします。自動修復アクションを構成し、AWS Systems Manager Automationランブックを呼び出してデフォルトのインスタンスプロファイルをEC2インスタンスにアタッチします。
解説
AWS Configサービスのマネージドルール「ec2-instance-profile-attached」は、EC2インスタンスがインスタンスプロファイルをアタッチしているかを検証するために使用されます。このルールをデプロイすると、AWS ConfigはすべてのEC2インスタンス(既存インスタンスおよび新規起動インスタンスを含む)のコンプライアンス状態を継続的に評価します。プロファイルがアタッチされていないインスタンスを検出した場合、構成済みの自動修復アクションがSystems Manager Automationドキュメントをトリガーし、デフォルトプロファイルのアタッチを実行します。このソリューションは、既存の非コンプライアントインスタンス、長期実行インスタンス、および動的に作成されるインスタンスのすべてを網羅する監視および自動修復機能を提供し、「すべての実行中インスタンスがプロファイルをアタッチすること」というセキュリティポリシー要件を完全に満たします。選択肢Cのイベント駆動型メカニズムは、既存の非コンプライアントインスタンスをカバーできません。選択肢AおよびDで採用されるLambdaソリューションは、権限設定および実行環境の面で追加の複雑さを伴います。