Q68 — AWS DOP-C02 第1章
第 68/100 問 | ← 第1章
厳格な規制対象となる企業が、DevOpsエンジニアが緊急時以外はAmazon EC2インスタンスにログインしてはならないというポリシーを定めました。DevOpsエンジニアが実際にログインした場合、15分以内にセキュリティチームへ通知する必要があります。
- A. 各EC2インスタンスにAmazon Inspectorエージェントをインストールします。Amazon CloudWatch Events通知を購読します。AWS Lambda関数をトリガーしてメッセージがユーザーのログインに関連しているかを確認し、該当する場合はAmazon SNSを用いてセキュリティチームへ通知します。
- B. 各EC2インスタンスにAmazon CloudWatchエージェントをインストールします。エージェントを構成してすべてのログをAmazon CloudWatch Logsへ送信し、CloudWatchメトリクスフィルターを設定してユーザーのログインを検索します。ログインが検出された場合、Amazon SNSを用いてセキュリティチームへ通知します。 ✓
- C. Amazon CloudWatch LogsでAWS CloudTrailを設定します。CloudWatch LogsをAmazon Kinesisへサブスクライブします。AWS LambdaをKinesisにアタッチしてログを解析し、ユーザーのログインを含むか判定します。該当する場合はAmazon SNSを用いてセキュリティチームへ通知します。
- D. 各Amazon EC2インスタンスに、すべてのログをAmazon S3へ送信するスクリプトを設定します。S3イベントを設定してAWS Lambda関数をトリガーし、その関数がAmazon Athenaクエリを実行します。Athenaクエリがログインを検出し、Amazon SNSを用いて結果をセキュリティチームへ送信します。
正解: B. 各EC2インスタンスにAmazon CloudWatchエージェントをインストールします。エージェントを構成してすべてのログをAmazon CloudWatch Logsへ送信し、CloudWatchメトリクスフィルターを設定してユーザーのログインを検索します。ログインが検出された場合、Amazon SNSを用いてセキュリティチームへ通知します。
解説
本問では、DevOpsエンジニアによるEC2インスタンスへのログインを監視し、ログイン発生後15分以内にセキュリティチームへ通知する必要性が求められています。選択肢Bは、各EC2インスタンスにAmazon CloudWatchエージェントをインストールし、ログをCloudWatch Logsへ送信、ログインイベントを検出するためのフィルターを設定、検出時にAmazon SNSで通知するという解決策を提供しています。この手法は、リアルタイム監視、イベント検出、迅速な通知というすべての要件を満たします。したがって、Bが正解です。