Q33 — AWS DOP-C02 第1章
第 33/100 問 | ← 第1章
ある企業が、1つのAWSアカウントで1つのAWSリージョン内で数百のAmazon EC2インスタンスを実行しています。このアカウントでは、常に新しいEC2インスタンスの起動と終了が行われています。また、このアカウントには、1週間以上実行中の既存のEC2インスタンスも含まれています。 企業のセキュリティポリシーでは、実行中のすべてのEC2インスタンスにEC2インスタンスプロファイルを適用することが義務付けられています。インスタンスプロファイルがアタッチされていないEC2インスタンスは、未割り当てのIAM権限を持つデフォルトのインスタンスプロファイルを使用することになります。 DevOpsエンジニアがアカウントを調査したところ、インスタンスプロファイルがアタッチされていないEC2インスタンスが実行されていることが確認されました。さらに、レビュー中に、新しいEC2インスタンスがインスタンスプロファイルなしで起動していることも観察されました。 このリージョン内の現在実行中および今後作成されるすべてのEC2インスタンスにインスタンスプロファイルを確実にアタッチするためのソリューションはどれですか?
- A. Amazon EventBridgeルールを設定し、EC2 RunInstances API呼び出しに応答させます。このルールを、AWS Lambda関数を呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように構成します。
- B. AWS Configマネージドルール「ec2-instance-profile-attached」を、構成変更をトリガーとして設定します。自動修復アクションを構成し、AWS Systems Manager Automation runbookを呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチします。 ✓
- C. Amazon EventBridgeルールを設定し、EC2 StartInstances API呼び出しに応答させます。このルールを、AWS Systems Manager Automation Runbookを呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように構成します。
- D. AWS Configマネージドルール「iam-role-managed-policy-check」を、構成変更をトリガーとして設定します。自動修復アクションを構成し、AWS Lambda関数を呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチします。
正解: B. AWS Configマネージドルール「ec2-instance-profile-attached」を、構成変更をトリガーとして設定します。自動修復アクションを構成し、AWS Systems Manager Automation runbookを呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチします。
解説
正解はBです。AWS Configマネージドルールは、EC2インスタンスの構成変更を継続的に監視できます。「ec2-instance-profile-attached」のようなインスタンスプロファイルに関連するルールは、要件(つまりインスタンスプロファイルがアタッチされていない状態)を満たさない場合を検出すると、自動修復アクションを通じてAWS Systems Manager Automation runbookを呼び出し、デフォルトのインスタンスプロファイルをEC2インスタンスにアタッチすることで、該当リージョン内のすべての既存および将来のEC2インスタンスがセキュリティポリシーを満たすことを確実にします。一方、AはEC2 RunInstances API呼び出しに応答するため、すべてのケースを網羅できません。CはEC2 StartInstances API呼び出しに応答するため、同様に網羅性に欠けます。DはIAMロールの管理ポリシーをチェックするものであり、インスタンスプロファイルのアタッチという直接的な要件との関連性が弱いです。したがって、Bが最も適切なソリューションです。