Q16 — AWS DOP-C02 第2章

第 16/100 問 | ← 第2章

ある企業は、Amazon EC2インスタンス上でアプリケーションをテストするために単一のAWSアカウントを使用しています。この企業は、AWSアカウントでAWS Configを有効化し、managed ruleであるrestricted-ssh AWS Configルールを有効化しました。 企業は、アカウント内の任意のセキュリティグループがrestricted-sshルールに準拠していない場合に自動監視を行い、カスタマイズされた通知を即座に提供するソリューションを必要としています。このカスタマイズされた通知には、非準拠セキュリティグループの名前およびIDが含まれる必要があります。 DevOpsエンジニアは、Amazon Simple Notification Service(Amazon SNS)トピックを作成し、適切な担当者をそのトピックにサブスクライブさせました。 DevOpsエンジニアは、次に何を行うべきですか?

正解: A. restricted-sshルールのNON_COMPLIANT AWS Config評価結果に一致するAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。EventBridge(CloudWatch Events)ルールにインプットトランスフォーマーを設定します。EventBridge(CloudWatch Events)ルールを設定し、SNSトピックに通知を発行します。

解説

正解はAです。まず、restricted-sshルールのNON_COMPLIANT AWS Config評価結果に一致するAmazon EventBridgeルールを作成することで、ルール違反を正確に検知できます。インプットトランスフォーマーを設定することで、取得した情報を処理・整形し、カスタム通知の要件を満たす形式に変換できます。最後に、EventBridgeルールを既に作成・サブスクライブ済みのSNSトピックに通知を発行するように設定することで、非準拠セキュリティグループの名前およびIDを含むカスタム通知をリアルタイムで提供できます。他の選択肢は、特定ルールの非準拠状態を正確に処理できなかったり、実装方法が間接的・非効率的だったりするため、最適ではありません。