Q96 — AWS DOP-C02 第1章
第 96/100 問 | ← 第1章
ある会社は、内部のビジネスチームが事前に承認されたAWS CloudFormationテンプレートのみを使用してリソースをデプロイすることを要求しています。リソースが予期された状態から逸脱した場合、セキュリティチームは自動的に監視する必要があります。
- A. ユーザーがCloudFormationサービスロールのみを使用してCloudFormationスタックをデプロイできるように許可します。CloudFormationのドリフト検出機能を使用して、リソースが予期された状態から逸脱したタイミングを検出します。
- B. ユーザーがCloudFormationサービスロールのみを使用してCloudFormationスタックをデプロイできるように許可します。AWS Configルールを使用して、リソースが予期された状態から逸脱したタイミングを検出します。
- C. ユーザーがAWS Service Catalogのみを使用してCloudFormationスタックをデプロイできるように許可します。起動制約を強制します。AWS Configルールを使用して、リソースが予期された状態から逸脱したタイミングを検出します。 ✓
- D. ユーザーがAWS Service Catalogのみを使用してCloudFormationスタックをデプロイできるように許可します。テンプレート制約を強制します。Amazon EventBridge通知を使用して、リソースが予期された状態から逸脱したタイミングを検出します。
正解: C. ユーザーがAWS Service Catalogのみを使用してCloudFormationスタックをデプロイできるように許可します。起動制約を強制します。AWS Configルールを使用して、リソースが予期された状態から逸脱したタイミングを検出します。
解説
AWS Service Catalogは、共通のITサービスを集中管理し、ユーザーが承認済みのCloudFormationテンプレートのみをデプロイできるようにする機能を提供します。起動制約により、ユーザーがService Catalog製品を通じてのみデプロイを実行できるようになり、事前定義されたポリシーに準拠します。AWS Configは、リソース構成を継続的に評価し、カスタムルールを用いてリソースが予期された状態から逸脱した場合にアラートを発行します。選択肢Cは、Service Catalogによるデプロイ制御とConfigによる監視機能を組み合わせており、問題文のデプロイ制限および自動監視要件を満たします。選択肢DのEventBridge通知は能動的な監視メカニズムを欠いており、選択肢AおよびBのCloudFormationサービスロールはテンプレート承認プロセスの制御を含みません。出典:AWS Service Catalogドキュメント、AWS Config機能概要。