Q73 — AWS DOP-C02 第2章

第 73/100 問 | ← 第2章

ある企業の開発チームは、組織内の単一のAWS Organizationsに所属する複数のアカウントを管理しています。 企業は、すべてのAmazon EC2インスタンスが開発チームが管理する承認済みAMI(Amazon Machine Image)のみを使用することを保証するソリューションを必要としています。このソリューションは、承認されていない非準拠システムの使用を自動的に是正する必要があります。個別アカウントの管理者は、承認済みの非準拠システムの使用を無効化することはできません。

正解: D. 組織全体でAWS Systems ManagerのAutomation Compliance Managementを有効化します。承認済みAMIを指定したコンプライアンスパッケージを作成し、組織全体にデプロイします。承認済みAMIを使用していないEC2インスタンスに対して、AWS-STOP2INSTANCES Systems Manager Automationランブックを実行するようルールを設定します。

解説

AWS Systems ManagerのAutomation Compliance Managementおよびコンプライアンスパッケージ機能は、集中管理された方式でコンプライアンスポリシーを定義・展開し、すべてのEC2インスタンスが承認済みAMIを使用することを保証できます。組織全体にコンプライアンスパッケージを展開することで、すべてのメンバーアカウントでルールが強制適用され、ローカル管理者による上書きを防ぐことができます。また、Systems Manager Automationランブックにより、非準拠インスタンスを自動的に是正(例:停止)できます。このソリューションは、AWS Configルール、コンプライアンスパッケージ、および自動是正機能を統合しており、集中管理・自動是正・ローカル制御のバイパス防止という要件を満たします。選択肢Dの記述は、AWSドキュメントにおけるAutomation Compliance Managementおよび組織範囲展開の実装と一致しています。