Q12 — AWS DOP-C02 第1章
第 12/100 問 | ← 第1章
ある企業のアプリケーション開発チームは、LinuxベースのAmazon EC2インスタンスをバステーションホストとして使用しています。バステーションホストへのSSHアクセスは、セキュリティグループで指定された特定のIPアドレスに制限されています。セキュリティグループルールを変更して、任意のIPアドレスからのSSHアクセスを許可した場合、セキュリティチームは通知を受け取ることを望んでいます。
- A. aws.cloudtrailソースおよびイベント名AuthorizeSecurityGroupIngressを使用してAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。Amazon Simple Notification Service(Amazon SNS)トピックをターゲットとして定義します。
- B. Amazon GuardDutyを有効化し、AWS Security Hub内のセキュリティグループ結果を確認します。GuardDutyイベントをNON_COMPLIANT出力と一致させるカスタムパターンでAmazon EventBridge(Amazon CloudWatch Events)ルールを構成します。Amazon Simple Notification Service(Amazon SNS)トピックをターゲットとして定義します。
- C. セキュリティグループが制限のない受信SSHトラフィックを許可しないことをチェックするためのAWS Configルールとして、restricted-sshマネージドルールを作成します。自動修復を構成して、メッセージをAmazon Simple Notification Service(Amazon SNS)トピックに公開します。 ✓
- D. Amazon Inspectorを有効化します。バステーションホストに関連付けられたセキュリティグループをチェックするため、Common Vulnerabilities and Exposures-1.1ルールパッケージを含めます。Amazon InspectorがメッセージをAmazon Simple Notification Service(Amazon SNS)トピックに公開するように設定します。
正解: C. セキュリティグループが制限のない受信SSHトラフィックを許可しないことをチェックするためのAWS Configルールとして、restricted-sshマネージドルールを作成します。自動修復を構成して、メッセージをAmazon Simple Notification Service(Amazon SNS)トピックに公開します。
解説
参考:https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html