Q38 — AWS DOP-C02 第2章
第 38/100 問 | ← 第2章
ある企業が、AWS Organizations内の複数のAWSアカウントで動作するデータ受信アプリケーションを運用しています。このアプリケーションは、自動スケーリンググループ上のAmazon EC2インスタンスで実行されており、機密性の高いデータを扱うため、インターネットへのアクセスは禁止されています。エンジニアは必要なVPCエンドポイントを既にデプロイ済みであり、アプリケーション専用のカスタムAMIがEC2インスタンス上で実行されています。
- A. ユーザーがEC2インスタンスにログインした際にセキュリティチームに通知を送信するAmazon EventBridgeルールを作成します。EC2インスタンス接続(EC2 Instance Connect)を使用してインスタンスにログインします。AWS CloudFormationで自動スケーリンググループをデプロイします。外部アクセス用の適切なVPCルーティングを展開するためにcfn-initヘルパースクリプトを使用します。カスタムAMIを再構築し、AWS Systems Managerエージェントを含めます。
- B. NATゲートウェイとインターネットアクセス可能なバステーションホストをデプロイします。バステーションホストからのすべてのEC2インスタンスへの着信トラフィックを許可するセキュリティグループを作成します。すべてのEC2インスタンスにAWS Systems Managerエージェントをインストールします。自動スケーリンググループのライフサイクルフックを使用してアクセスを監視・監査します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。ログをAmazon CloudWatch Logsのロググループに送信します。監査目的でデータをAmazon S3にエクスポートします。S3イベント通知を使用してセキュリティチームに通知を送信します。
- C. EC2 Image Builderを使用してカスタムAMIを再構築し、最新バージョンのAWS Systems Managerエージェントを含めます。自動スケーリンググループを、すべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチするように設定します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。 ✓
- D. AWS Systems Manager Automationを使用してSystems ManagerエージェントをカスタムAMIに組み込みます。AWS Configを使用して、SCP(Service Control Policy)をルート組織アカウントにアタッチし、EC2インスタンスがSystems Managerに接続できるようにします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。
正解: C. EC2 Image Builderを使用してカスタムAMIを再構築し、最新バージョンのAWS Systems Managerエージェントを含めます。自動スケーリンググループを、すべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチするように設定します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。
解説
AWS Systems Manager(SSM)セッションマネージャーは、VPCエンドポイント経由でインターネットアクセスなしにEC2インスタンスに接続できます。本問では、EC2 Image Builderによる最新SSMエージェントの含むAMI再構築、およびAmazonSSMManagedInstanceCore IAMロールのアタッチが必須です。セッションマネージャーによるアクセス時、セッションログは自動的にS3に保存され、S3イベント通知がSNSトピック経由でセキュリティチームへアラートを送信します。これは、インターネット非接続、集中制御、セキュリティ監査の全要件を満たします。オプションBはNATゲートウェイとバステーションホストを導入し、インターネットアクセス制約に違反します。オプションDのSCPアタッチは組織レベルの設定であり、自動スケーリンググループの直接デプロイ要件に合致しません。オプションCのみがすべての条件を満たす唯一の解決策です。