Q73 — AWS DOP-C02 第2章
第 73/100 問 | ← 第2章
ある企業の開発チームは、組織内の単一のAWS Organizationsに所属する複数のアカウントを管理しています。 企業は、すべてのAmazon EC2インスタンスが開発チームが管理する承認済みAMI(Amazon Machine Image)のみを使用することを保証するソリューションを必要としています。このソリューションは、承認されていない非準拠システムの使用を自動的に是正する必要があります。個別アカウントの管理者は、承認済みの非準拠システムの使用を無効化することはできません。
- A. AWS CloudFormation StackSetsを使用して、各アカウントにAmazon EventBridgeルールをデプロイします。このルールをAmazon EC2に関するAWS CloudTrailイベントに反応するよう設定し、Amazon Simple Notification Service(Amazon SNS)トピックに通知を送信します。開発チームがSNSトピックをサブスクライブします。
- B. AWS CloudFormation StackSetsを使用して、各アカウントに承認済みAMIリストに基づくAWS Configルールを月次でデプロイします。EC2インスタンスが承認済みAMIを使用していない場合、AWS-STOP2インスタンスのSystems Manager Automationランブックを実行するようルールを設定します。
- C. Amazon EC2のAWS CloudTrailイベントを処理するAWS Lambda関数を作成します。Lambda関数を設定してAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信し、開発チームがそのトピックをサブスクライブします。組織内の各アカウントにLambda関数をデプロイし、各アカウントにAmazon EventBridgeルールを作成します。Amazon EC2のAWS CloudTrailイベントを監視するEventBridgeルールを設定し、Lambda関数を呼び出します。
- D. 組織全体でAWS Systems ManagerのAutomation Compliance Managementを有効化します。承認済みAMIを指定したコンプライアンスパッケージを作成し、組織全体にデプロイします。承認済みAMIを使用していないEC2インスタンスに対して、AWS-STOP2INSTANCES Systems Manager Automationランブックを実行するようルールを設定します。 ✓
正解: D. 組織全体でAWS Systems ManagerのAutomation Compliance Managementを有効化します。承認済みAMIを指定したコンプライアンスパッケージを作成し、組織全体にデプロイします。承認済みAMIを使用していないEC2インスタンスに対して、AWS-STOP2INSTANCES Systems Manager Automationランブックを実行するようルールを設定します。
解説
AWS Systems ManagerのAutomation Compliance Managementおよびコンプライアンスパッケージ機能は、集中管理された方式でコンプライアンスポリシーを定義・展開し、すべてのEC2インスタンスが承認済みAMIを使用することを保証できます。組織全体にコンプライアンスパッケージを展開することで、すべてのメンバーアカウントでルールが強制適用され、ローカル管理者による上書きを防ぐことができます。また、Systems Manager Automationランブックにより、非準拠インスタンスを自動的に是正(例:停止)できます。このソリューションは、AWS Configルール、コンプライアンスパッケージ、および自動是正機能を統合しており、集中管理・自動是正・ローカル制御のバイパス防止という要件を満たします。選択肢Dの記述は、AWSドキュメントにおけるAutomation Compliance Managementおよび組織範囲展開の実装と一致しています。