Q41 — AWS DOP-C02 第1章
第 41/100 問 | ← 第1章
企業は、デプロイ前にコードをスキャンしてセキュリティ問題を検出し、非コンプライアンスなコードのデプロイを防止する必要があります。企業は、コード変更時に起動するAWS CodePipelineパイプラインを使用しています。コード変更は1日に複数回発生します。 セキュリティチームはサードパーティのスキャンツールをサポートしており、コマンドライン統合手順を提供しています。このコードスキャンステップにはユーザー名とパスワードが必要です。 これらの要件を最も安全な方法で満たすソリューションはどれですか?
- A. 新しいAWS CodeBuildプロジェクトを作成します。環境変数にユーザー名とパスワードを設定します。ユーザー名とパスワードを使用してコマンドライン統合手順を実行します。CodePipelineパイプラインを更新し、新しいスキャンステージを追加します。新しいスキャンステージには、新しく作成したCodeBuildプロジェクトを使用するテストアクションを含めます。
- B. 新しいAWS CodeBuildプロジェクトを作成します。ユーザー名とパスワードをAWS Secrets Managerにシークレットとして保存します。Secrets Managerからシークレットを読み取り、ユーザー名とパスワードを使用してコマンドライン統合手順を実行します。CodePipelineパイプラインを更新し、新しいスキャンステージを追加します。新しいスキャンステージには、新しく作成したCodeBuildプロジェクトを使用するテストアクションを含めます。 ✓
- C. 新しいAWS CodeBuildプロジェクトを作成します。ユーザー名とパスワードをAWS Systems Manager Parameter Storeに文字列として保存します。Parameter Storeから文字列を読み取り、ユーザー名とパスワードを使用してコマンドライン統合手順を実行します。CodePipelineパイプラインを更新し、新しいスキャンステージを追加します。新しいスキャンステージには、新しく作成したCodeBuildプロジェクトを使用するテストアクションを含めます。
- D. ユーザー名とパスワードを暗号化されたJSONファイルに格納し、管理者のみがそのファイルを読み取ることを許可する特定のポリシーを持つAmazon S3バケットにアップロードします。新しいAWS CodeBuildプロジェクトを作成します。Amazon S3内のファイルからユーザー名とパスワードを取得し、コマンドライン統合手順を実行します。CodePipelineパイプラインを更新し、新しいスキャンステージを追加します。新しいスキャンステージには、新しく作成したCodeBuildプロジェクトを使用するテストアクションを含めます。
正解: B. 新しいAWS CodeBuildプロジェクトを作成します。ユーザー名とパスワードをAWS Secrets Managerにシークレットとして保存します。Secrets Managerからシークレットを読み取り、ユーザー名とパスワードを使用してコマンドライン統合手順を実行します。CodePipelineパイプラインを更新し、新しいスキャンステージを追加します。新しいスキャンステージには、新しく作成したCodeBuildプロジェクトを使用するテストアクションを含めます。
解説
Bが正解です(Secrets Managerが鍵となります)