Q66 — AWS DOP-C02 第2章
第 66/100 問 | ← 第2章
ある企業は、Amazon S3を使用して機密情報を保存しています。開発チームは毎日新しいプロジェクト用にS3バケットを作成します。セキュリティチームは、既存および今後作成されるすべてのS3バケットに対して、暗号化、ログ記録、バージョン管理が有効化されていることを保証したいと考えています。さらに、どのバケットもパブリック読み取りまたは書き込みを許可してはなりません。
- A. AWS CloudTrailを有効化し、AWS Lambdaを使用して自動修復を設定します。
- B. AWS Configルールを有効化し、AWS Systems Managerドキュメントを使用して自動修復を設定します。 ✓
- C. AWS Trusted Advisorを有効化し、Amazon CloudWatch Eventsを使用して自動修復を設定します。
- D. AWS Systems Managerを有効化し、Systems Managerドキュメントを使用して自動修復を設定します。
正解: B. AWS Configルールを有効化し、AWS Systems Managerドキュメントを使用して自動修復を設定します。
解説
セキュリティチームの要件を満たすには、Amazon S3バケットの設定を継続的に監視し、自動的に修復する方法が必要です。AWS Configは、Amazon S3バケットを含むAWSリソースの設定を継続的に監視できるサービスであり、特定の設定基準(例:暗号化、ログ記録、バージョン管理の有効化、パブリックアクセスの禁止)をチェックするルールを定義できます。AWS Configが非準拠のリソースを検出した場合、自動修復アクションをトリガーできます。AWS Systems Managerドキュメントは、これらの自動修復アクション(例:バケットポリシーの修正による暗号化・ログ記録・バージョン管理の有効化、パブリックアクセスの禁止)を定義・実行するために使用できます。したがって、AWS Configルールを有効化し、AWS Systems Managerドキュメントを使用して自動修復を設定することは、要件を満たす効果的な方法です。