Q53 — AWS DOP-C02 第2章

第 53/100 問 | ← 第2章

セキュリティチームは、開発者が本番環境のAmazon EC2インスタンスにElastic IPアドレスを関連付ける可能性を懸念しています。開発者によるElastic IPアドレスの関連付けは一切許可されていません。また、本番サーバーがいつでもElastic IPアドレスと関連付けられている場合、セキュリティチームに通知する必要があります。 このタスクを自動化するにはどうすればよいですか?

正解: B. 開発者のIAMグループにIAMポリシーをアタッチして、Elastic IPアドレスの関連付け権限を明示的に拒否します。さらに、カスタムAWS Configルールを作成して、タグ「Production」が付与されたEC2インスタンスにElastic IPアドレスが関連付けられていないかをチェックし、該当する場合はセキュリティチームにアラートを送信します。

解説

本問は、AWSにおける権限管理とリソース構成監視の統合的な活用を問うものです。AWS公式ドキュメントによると、特定操作を制限するためのIAMポリシーと、AWS Configのカスタムルールによるリソース状態の継続的監視を組み合わせることは、一般的なセキュリティ実践です。選択肢Bでは、まずIAMポリシーにより開発者によるElastic IP関連付けを明示的に拒否し、操作そのものを防止します。次に、AWS Configのマネージドまたはカスタムルールを用いて、「Production」タグが付与されたインスタンスへのElastic IP関連付けをリアルタイムで検出し、アラートを送信します。これは問題文の「監視」と「通知」の両要件を満たします。一方、選択肢Cは定期実行型Lambdaであり、リアルタイム監視ができないため検出遅延が生じます。選択肢Dは、EC2インスタンスにアタッチされるIAMロールはEC2サービス自体の権限を制御するものであり、Elastic IP関連付けのような他のサービスの操作には影響しません。選択肢AのAthenaクエリは手動または追加のスケジューリングが必要で、効率が劣ります。したがって、選択肢Bは権限制御とリアルタイム監視の両方を同時に実現し、問題文の2つのコア要件を最も適切に満たします。