Q59 — AWS DOP-C02 第1章
第 59/100 問 | ← 第1章
ある企業は、AWS Organizations を使用して複数のアカウントを管理しています。情報セキュリティポリシーでは、暗号化されていないAmazon EBSボリュームを非準拠としてマークすることが求められています。DevOpsエンジニアは、この準拠性チェックを自動的に展開し、常に有効な状態を維持するソリューションを実装する必要があります。 この要件を満たすソリューションはどれですか?
- A. AWS Inspectorルールを定義するAWS CloudFormationテンプレートを作成し、EBS暗号化が有効かどうかをチェックします。このテンプレートを、企業内のすべてのアカウントと共有されるAmazon S3バケットに保存します。CloudFormationテンプレートへの参照を更新したアカウント作成スクリプトを実行します。
- B. EBS暗号化の有効化をチェックするAWS Config組織ルールを作成し、AWS CLIを使用してそのルールを展開します。AWS Configの停止および削除を組織全体で禁止するSCPを作成・適用します。 ✓
- C. 組織内にSCPを作成します。条件式を使用して、EBSボリュームが暗号化されていない場合にAmazon EC2インスタンスの起動を防止するポリシーを設定し、すべてのAWSアカウントに適用します。Amazon Athenaを使用してAWS CloudTrailの出力を分析し、Ec2:RunInstances操作が拒否されたイベントを検索します。
- D. 単一の信頼済みアカウントからすべてのアカウントにIAMロールを展開します。AWS CodePipelineを使用してパイプラインを構築し、AWS LambdaでIAMロールを引き受け、アカウント内のすべてのEBSボリュームを一覧表示するステージを含めます。レポートをAmazon S3に公開します。
正解: B. EBS暗号化の有効化をチェックするAWS Config組織ルールを作成し、AWS CLIを使用してそのルールを展開します。AWS Configの停止および削除を組織全体で禁止するSCPを作成・適用します。
解説
AWS Configの組織ルールは、組織全体の構成状態を集中管理・監視でき、EBS暗号化の有無をチェックするのに適しています。組織ルールを作成し、AWS CLIで展開することで、すべてのアカウントで一貫した準拠性チェックを実現できます。さらに、組織全体でAWS Configの停止および削除を禁止するSCPを作成・適用することで、ルールの継続的な有効性を保証し、暗号化されていないEBSボリュームを非準拠としてマークするという情報セキュリティポリシーの要件を満たします。したがって、選択肢Bが正しい解答です。