Q38 — AWS DOP-C02 第2章

第 38/100 問 | ← 第2章

ある企業が、AWS Organizations内の複数のAWSアカウントで動作するデータ受信アプリケーションを運用しています。このアプリケーションは、自動スケーリンググループ上のAmazon EC2インスタンスで実行されており、機密性の高いデータを扱うため、インターネットへのアクセスは禁止されています。エンジニアは必要なVPCエンドポイントを既にデプロイ済みであり、アプリケーション専用のカスタムAMIがEC2インスタンス上で実行されています。

正解: C. EC2 Image Builderを使用してカスタムAMIを再構築し、最新バージョンのAWS Systems Managerエージェントを含めます。自動スケーリンググループを、すべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチするように設定します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。

解説

AWS Systems Manager(SSM)セッションマネージャーは、VPCエンドポイント経由でインターネットアクセスなしにEC2インスタンスに接続できます。本問では、EC2 Image Builderによる最新SSMエージェントの含むAMI再構築、およびAmazonSSMManagedInstanceCore IAMロールのアタッチが必須です。セッションマネージャーによるアクセス時、セッションログは自動的にS3に保存され、S3イベント通知がSNSトピック経由でセキュリティチームへアラートを送信します。これは、インターネット非接続、集中制御、セキュリティ監査の全要件を満たします。オプションBはNATゲートウェイとバステーションホストを導入し、インターネットアクセス制約に違反します。オプションDのSCPアタッチは組織レベルの設定であり、自動スケーリンググループの直接デプロイ要件に合致しません。オプションCのみがすべての条件を満たす唯一の解決策です。