Q99 — AWS DOP-C02 第1章

第 99/100 問 | ← 第1章

ある企業が HPC プラットフォームを使用してデータ分析ジョブを実行しています。同社は AWS CodeBuild を使用してコンテナイメージを作成し、Amazon Elastic Container Registry (Amazon ECR) に保存しています。その後、これらのイメージを Amazon Elastic Kubernetes Service (Amazon EKS) にデプロイします。コンプライアンスを維持するため、Amazon EKS へのデプロイ前にイメージに署名を付与する必要があります。署名鍵は定期的にローテーションされ、自動的に管理される必要があります。また、誰が署名を生成したかを追跡する必要があります。

正解: D. CodeBuild を使用してイメージをビルドします。Amazon ECR にプッシュする前に、AWS Signer を使用してイメージに署名します。AWS CloudTrail を使用して署名の生成者を追跡します。

解説

本問は、AWS 環境におけるコンテナイメージの署名およびコンプライアンス管理を実現するソリューション設計について問うものです。AWS Signer は完全マネージド型のコード署名サービスであり、署名鍵の自動ローテーションをサポートし、手動介入を不要とします。署名ステップを CodeBuild のビルドフローに統合することで、ECR へのプッシュ前にイメージが署名されることを保証し、デプロイ前の検証要件を満たします。AWS CloudTrail は AWS Signer の API 呼び出しを記録することで、署名操作の監査トレーサビリティを提供します。他の選択肢と比較して、選択肢 D はネイティブな AWS サービス間の統合により、カスタムスクリプトや追加ステップを最小限に抑え、運用コストが最も低くなります。関連する AWS ドキュメントでは、AWS Signer を使用したコード署名は署名鍵のライフサイクルを自動管理でき、CodeBuild や ECR などとのシームレスな連携が可能であると述べられています。