Q91 — AWS DOP-C02 第1章
第 91/100 問 | ← 第1章
ある会社が単一のAWSアカウントを用いて、1つのAWSリージョンで数百台のAmazon EC2インスタンスを実行しています。このアカウントでは、常に新しいEC2インスタンスの起動および終了が行われています。また、1週間以上実行中の既存のEC2インスタンスも存在します。会社のセキュリティポリシーでは、実行中のすべてのEC2インスタンスがEC2インスタンスプロファイルを使用することを義務付けています。EC2インスタンスがインスタンスプロファイルをアタッチされていない場合、そのインスタンスは未割り当てのIAM権限を持つデフォルトのインスタンスプロファイルを使用しなければなりません。DevOpsエンジニアがアカウントを調査したところ、インスタンスプロファイルがアタッチされていない状態で実行中のEC2インスタンスが確認されました。レビュー期間中、DevOpsエンジニアは新たに起動されるEC2インスタンスにもインスタンスプロファイルがアタッチされていないことを観測しました。 このリージョンで現在実行中および今後起動されるすべてのEC2インスタンスにインスタンスプロファイルを確実にアタッチするソリューションはどれでしょうか?
- A. EC2RunInstances API呼び出しに応答するAmazon EventBridge(Amazon CloudWatch Events)ルールを設定します。このルールを、AWS Lambda関数を呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように設定します。
- B. 構成変更をトリガーとするec2-instance-profile-attached AWS Configマネージドルールを設定します。自動修復アクションとして、AWS Systems Manager Automation runbookを呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように設定します。 ✓
- C. EC2StartInstances API呼び出しに応答するAmazon EventBridge(Amazon CloudWatch Events)ルールを設定します。このルールを、AWS Systems Manager Automation runbookを呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように設定します。
- D. 構成変更をトリガーとするiam-role-managed-policy-check AWS Configマネージドルールを設定します。自動修復アクションとして、AWS Lambda関数を呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように設定します。
正解: B. 構成変更をトリガーとするec2-instance-profile-attached AWS Configマネージドルールを設定します。自動修復アクションとして、AWS Systems Manager Automation runbookを呼び出してEC2インスタンスにデフォルトのインスタンスプロファイルをアタッチするように設定します。
解説
最も安全なソリューションはBです。CodeCommitリポジトリをAmazon CodeGuru Reviewerと関連付け、手動でコードレビューの推奨事項を確認し、シークレット保護のオプションを選択します。その後、SAMテンプレートおよびPythonコードを更新して、AWS Secrets Managerからシークレットを取得するようにします。