Q56 — AWS DOP-C02 第1章

第 56/100 問 | ← 第1章

ある医療保険サービス会社は、患者の健康を監視するアプリケーションのソフトウェアライセンスコストが継続的に増加することを懸念しています。同社は、アプリケーションが Amazon EC2 専用ホスト上で実行されていることを保証する監査プロセスを作成したいと考えています。DevOps エンジニアは、アプリケーションのコンプライアンスを保証するための監査ワークフローを作成する必要があります。 エンジニアは、管理負荷を最小限に抑えてこの要件を満たすために、どのようなステップを取るべきですか?

正解: C. AWS Config を使用します。そのリージョン内のすべての Amazon EC2 リソースで構成記録を有効化することで、監査対象となるすべての EC2 インスタンスを特定します。'config-rule-change-triggered' ブループリントを使用して、AWS Lambda 関数をトリガーするカスタム AWS Config ルールを作成します。インスタンスが EC2 専用ホスト上で実行されていない場合、Lambda の evaluateCompliance() 関数を修正してホスト配置を検証し、NON_COMPLIANT 結果を返します。AWS Config レポートを使用して非コンプライアントなインスタンスを解決します。

解説

選択肢 A は AWS Systems Manager と DynamoDB を使用しており、有効ですが、管理および実装が複雑になる可能性があります。 選択肢 B はカスタムコードと複数の AWS サービスを必要とし、管理負荷が高く、実装も複雑です。 選択肢 C:AWS Config を使用します。構成記録を有効化することですべての EC2 インスタンスを特定し、カスタム AWS Config ルールを活用してインスタンスが専用ホスト上で実行されているかを監視します。Lambda 関数を用いて非コンプライアントなインスタンスを自動検出し、レポートを生成します。この手法は AWS のネイティブツールを活用しており、管理負荷を軽減しつつコンプライアンスを確保します。 選択肢 D は CloudTrail と RDS を使用しますが、監査を実現できますが、関係するサービスが多く、管理が複雑になります。