Q54 — AWS DOP-C02 第1章
第 54/100 問 | ← 第1章
ある会社のアプリケーション開発チームは、Linux ベースの Amazon EC2 インスタンスをバストホストとして使用しています。バストホストへの SSH アクセスは、セキュリティグループで指定された特定の IP アドレスからのみ許可されています。セキュリティグループのルールを変更して、任意の IP アドレスからの SSH アクセスを許可した場合、同社のセキュリティチームは通知を受け取りたいと考えています。
- A. aws.cloudtrail ソースおよびイベント名 AuthorizeSecurityGroupIngress を使用して Amazon EventBridge ルールを作成します。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。 ✓
- B. Amazon GuardDuty を有効化し、AWS Security Hub でセキュリティグループの結果を確認します。GuardDuty イベントを NON_COMPLIANT と一致させるカスタムパターンで Amazon EventBridge ルールを設定します。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。
- C. restricted-ssh マネージドルールを使用して AWS Config ルールを作成し、セキュリティグループが制限のない受信 SSH トラフィックを許可していないかをチェックします。自動修復を設定して、メッセージを Amazon Simple Notification Service (Amazon SNS) トピックにパブリッシュします。
- D. Amazon Inspector を有効化します。バストホストに関連付けられたセキュリティグループをチェックするための Common Vulnerabilities and Exposures-1.1 ルールパッケージを含めます。Amazon Inspector がメッセージを Amazon Simple Notification Service (Amazon SNS) トピックにパブリッシュするように設定します。
正解: A. aws.cloudtrail ソースおよびイベント名 AuthorizeSecurityGroupIngress を使用して Amazon EventBridge ルールを作成します。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。
解説
A が正解です。C は誤りです。なぜなら、restricted-ssh マネージドルールは制限のない受信 SSH トラフィックの存在をチェックするものであり、セキュリティグループルールの変更を監視するものではないからです。https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html