Q47 — AWS DOP-C02 第1章
第 47/100 問 | ← 第1章
ある企業は、AWS Systems Managerを使用して、SSMエージェントがインストール済みのAmazon Linux EC2インスタンスを管理しています。すべてのEC2インスタンスは、インスタンスメタデータサービスバージョン2(IMDSv2)を使用するように構成されており、同一のAWSアカウントおよびAWSリージョンで実行されています。企業のポリシーでは、開発者がAmazon Linuxのみを使用することが求められています。 企業は、新しいEC2インスタンスが作成された後に、自動的にSystems Managerによって管理されるようにしたいと考えています。
- A. Systems Managerがこのロールを引き受けることを許可する信頼ポリシーを持つIAMロールを作成します。最新のAmazonSSMManagedInstanceCoreマネージドポリシーをこのロールに関連付けます。Systems ManagerのデフォルトEC2インスタンスマネジメントロールSSMサービス設定を、このロールを使用するように構成します。 ✓
- B. AWS Configが確立されていることを確認します。EC2インスタンスにSSMエージェントがインストールされているかを検証するAWS Configルールを作成します。このルールをEC2構成変更時に実行するように構成します。自動修復をこのルールに構成し、SSMエージェントをインストールするドキュメントを実行します。
- C. Systems Manager Patch Managerを構成します。すべての新しいEC2インスタンスでSSMエージェントを自動的にインストールするパッチベースラインを作成します。すべてのEC2インスタンスに対してパッチグループを作成します。パッチベースラインをパッチグループにアタッチします。SSMエージェントのインストールを毎日開始するメンテナンスウィンドウおよびメンテナンスウィンドウタスクを作成します。
- D. Amazon EC2がこのロールを引き受けることを許可する信頼ポリシーを持つEC2インスタンスロールを作成します。AmazonSSMManagedInstanceCoreマネージドポリシーをこのロールにアタッチします。AWS Configが確立されていることを確認します。EC2インスタンスにこのロールがアタッチされているかを検証する、EC2インスタンス接続のマネージドAWS Configルールを使用します。このルールをEC2構成変更時に実行するように構成します。自動修復をこのルールに構成し、AWS Systems Managerが管理するSSMドキュメントを実行して、このロールをEC2インスタンスにアタッチします。
正解: A. Systems Managerがこのロールを引き受けることを許可する信頼ポリシーを持つIAMロールを作成します。最新のAmazonSSMManagedInstanceCoreマネージドポリシーをこのロールに関連付けます。Systems ManagerのデフォルトEC2インスタンスマネジメントロールSSMサービス設定を、このロールを使用するように構成します。
解説
本問は、AWS Systems Manager(SSM)の設定に関するもので、新規EC2インスタンスが自動的に管理対象となるようにする必要があります。解答Aの解説はIAMロールの設定に焦点を当てており、キーポイントはEC2インスタンスに適切なロールをアタッチすることです。IAMロールの信頼ポリシーはEC2サービスがそのロールを引き受けることを許可する必要があり、AmazonSSMManagedInstanceCoreポリシーを関連付けることで、SSMが必要な権限を得られます。Systems ManagerのデフォルトEC2管理ロールを設定することで、新規インスタンスの起動時に自動的にこのロールが適用されます。他の選択肢は、修復措置や即時でない設定に依存しており、インスタンス作成時に即座に管理対象となることを保証できません。AWSドキュメントでは、EC2インスタンスがSSMと通信するには正しいIAMロールが必要であると明記されており、ロール設定は基本前提です。選択肢B、C、DはそれぞれAWS Configルール、パッチマネージャー、自動修復ステップに依存しており、インスタンス起動時のロール割り当てという根本的な問題を直接解決していません。