Q56 — AWS DOP-C02 第1章
第 56/100 問 | ← 第1章
ある医療保険サービス会社は、患者の健康を監視するアプリケーションのソフトウェアライセンスコストが継続的に増加することを懸念しています。同社は、アプリケーションが Amazon EC2 専用ホスト上で実行されていることを保証する監査プロセスを作成したいと考えています。DevOps エンジニアは、アプリケーションのコンプライアンスを保証するための監査ワークフローを作成する必要があります。 エンジニアは、管理負荷を最小限に抑えてこの要件を満たすために、どのようなステップを取るべきですか?
- A. AWS Systems Manager のコンプライアンス機能を使用します。put-compliance-items API 操作を呼び出して、ホスト配置に基づきスキャンおよび非コンプライアントな EC2 インスタンスのデータベースを構築します。これらのインスタンス ID を高速アクセスのために Amazon DynamoDB テーブルに格納します。Systems Manager の list-compliance-summaries API 操作を呼び出してレポートを生成します。
- B. EC2 インスタンス上で実行されるカスタム Java コードを使用します。チェック対象のインスタンス数に応じて、EC2 Auto Scaling をインスタンスに設定します。非コンプライアントな EC2 インスタンス ID のリストを Amazon SQS キューに送信します。SQS キューからインスタンス ID を処理し、Amazon DynamoDB に書き込む別のワーカーインスタンスを設定します。AWS Lambda 関数を使用して、キューから取得した非コンプライアントなインスタンス ID を終了し、Amazon SNS 電子メールトピックに配信します。
- C. AWS Config を使用します。そのリージョン内のすべての Amazon EC2 リソースで構成記録を有効化することで、監査対象となるすべての EC2 インスタンスを特定します。'config-rule-change-triggered' ブループリントを使用して、AWS Lambda 関数をトリガーするカスタム AWS Config ルールを作成します。インスタンスが EC2 専用ホスト上で実行されていない場合、Lambda の evaluateCompliance() 関数を修正してホスト配置を検証し、NON_COMPLIANT 結果を返します。AWS Config レポートを使用して非コンプライアントなインスタンスを解決します。 ✓
- D. AWS CloudTrail を使用します。EC2 RunCommand API 操作に対するすべての呼び出しを分析することで、監査対象となるすべての EC2 インスタンスを特定します。AWS Lambda 関数を呼び出してインスタンスのホスト位置を分析します。非コンプライアントなリソースの EC2 インスタンス ID を Amazon RDS MySQL データベースインスタンスに格納します。RDS インスタンスをクエリしてレポートを生成し、クエリ結果を CSV テキストファイルとしてエクスポートします。
正解: C. AWS Config を使用します。そのリージョン内のすべての Amazon EC2 リソースで構成記録を有効化することで、監査対象となるすべての EC2 インスタンスを特定します。'config-rule-change-triggered' ブループリントを使用して、AWS Lambda 関数をトリガーするカスタム AWS Config ルールを作成します。インスタンスが EC2 専用ホスト上で実行されていない場合、Lambda の evaluateCompliance() 関数を修正してホスト配置を検証し、NON_COMPLIANT 結果を返します。AWS Config レポートを使用して非コンプライアントなインスタンスを解決します。
解説
選択肢 A は AWS Systems Manager と DynamoDB を使用しており、有効ですが、管理および実装が複雑になる可能性があります。 選択肢 B はカスタムコードと複数の AWS サービスを必要とし、管理負荷が高く、実装も複雑です。 選択肢 C:AWS Config を使用します。構成記録を有効化することですべての EC2 インスタンスを特定し、カスタム AWS Config ルールを活用してインスタンスが専用ホスト上で実行されているかを監視します。Lambda 関数を用いて非コンプライアントなインスタンスを自動検出し、レポートを生成します。この手法は AWS のネイティブツールを活用しており、管理負荷を軽減しつつコンプライアンスを確保します。 選択肢 D は CloudTrail と RDS を使用しますが、監査を実現できますが、関係するサービスが多く、管理が複雑になります。