Q96 — AWS DOP-C02 第1章

第 96/100 問 | ← 第1章

ある会社は、内部のビジネスチームが事前に承認されたAWS CloudFormationテンプレートのみを使用してリソースをデプロイすることを要求しています。リソースが予期された状態から逸脱した場合、セキュリティチームは自動的に監視する必要があります。

正解: C. ユーザーがAWS Service Catalogのみを使用してCloudFormationスタックをデプロイできるように許可します。起動制約を強制します。AWS Configルールを使用して、リソースが予期された状態から逸脱したタイミングを検出します。

解説

AWS Service Catalogは、共通のITサービスを集中管理し、ユーザーが承認済みのCloudFormationテンプレートのみをデプロイできるようにする機能を提供します。起動制約により、ユーザーがService Catalog製品を通じてのみデプロイを実行できるようになり、事前定義されたポリシーに準拠します。AWS Configは、リソース構成を継続的に評価し、カスタムルールを用いてリソースが予期された状態から逸脱した場合にアラートを発行します。選択肢Cは、Service Catalogによるデプロイ制御とConfigによる監視機能を組み合わせており、問題文のデプロイ制限および自動監視要件を満たします。選択肢DのEventBridge通知は能動的な監視メカニズムを欠いており、選択肢AおよびBのCloudFormationサービスロールはテンプレート承認プロセスの制御を含みません。出典:AWS Service Catalogドキュメント、AWS Config機能概要。