Q27 — AWS DOP-C02 第1章
第 27/100 問 | ← 第1章
ある企業は、パブリックサブネットとプライベートサブネットから構成されるVPCを所有しています。アプリケーションはプライベートサブネット内のAmazon EC2インスタンスで実行され、ロードバランサーはパブリックサブネットに配置され、EC2インスタンスにトラフィックを分散します。同社は、アカウントでAmazon GuardDutyを有効化しています。DevOpsチームは、外部IP範囲リストを毎日更新しており、このリストはアカウントのAmazon S3バケットに保存されています。DevOpsエンジニアは、アプリケーションのトラフィックが外部IP範囲リスト内のIPアドレスから発生した場合にGuardDutyが結果を生成するよう設定する必要があります。
- A. 毎日実行されるAmazon EventBridgeルールを作成し、AWS Lambda関数を呼び出します。Lambda関数を設定して、S3バケットから最新の外部IP範囲リストを取得します。リスト内の各IP範囲に対して、Lambda関数でpublicIpフィルター属性に基づくGuardDuty結果フィルターを作成します。
- B. GuardDutyで脅威リストを設定します。ソースをS3バケット内の外部IP範囲リストに設定します。毎日実行されるAmazon EventBridgeルールを作成し、AWS Lambda関数を呼び出します。Lambda関数を設定して、S3バケット内の外部IP範囲リストに一致するようGuardDutyの脅威リストを更新します。 ✓
- C. GuardDutyで信頼済みIPリストを設定します。ソースをS3バケット内の外部IP範囲リストに設定します。毎日実行されるAmazon EventBridgeルールを作成し、AWS Lambda関数を呼び出します。Lambda関数を設定して、S3バケット内の外部IP範囲リストに一致するようGuardDutyの信頼済みIPリストを更新します。
- D. 毎日実行されるAmazon EventBridgeルールを作成し、AWS Lambda関数を呼び出します。Lambda関数を設定して、S3バケットから最新の外部IP範囲リストを取得します。リスト内の各IP範囲に対して、Lambda関数でlocalIpフィルター属性に基づくGuardDuty結果フィルターを作成します。
正解: B. GuardDutyで脅威リストを設定します。ソースをS3バケット内の外部IP範囲リストに設定します。毎日実行されるAmazon EventBridgeルールを作成し、AWS Lambda関数を呼び出します。Lambda関数を設定して、S3バケット内の外部IP範囲リストに一致するようGuardDutyの脅威リストを更新します。
解説
Bが正解です。脅威リストを設定すると、自動的に結果が生成されます。Aはフィルターのみを作成し結果を生成しないため不適切です。Cはリストを信頼する(許可する)設定であり、阻止する目的に反します。Dはフィルターのみを作成し結果を生成しないため不適切です。