Q81 — AWS DOP-C02 第2章
第 81/100 問 | ← 第2章
ある企業は、Amazon EC2 インスタンス上でアプリケーションをテストするために単一の AWS アカウントを使用しています。この企業は AWS アカウントで AWS Config を有効化し、restricted-ssh AWS Config マネージドルールを有効化しました。 この企業は、アカウント内の任意のセキュリティグループが restricted-ssh ルールに準拠していない場合に、該当するセキュリティグループの名前と ID を含む通知を提供する自動監視ソリューションを必要としています。 DevOps エンジニアは、アカウント内で Amazon Simple Notification Service (Amazon SNS) トピックを作成し、適切な関係者をサブスクライブさせました。 これらの要件を満たすために、DevOps エンジニアが次にすべきことは何ですか?
- A. AWS Config 評価結果が NON_COMPLIANT となる restricted-ssh ルールに一致する Amazon EventBridge ルールを作成します。EventBridge ルールにインプットトランスフォーマーを設定し、SNS トピックへ通知を発行するように構成します。 ✓
- B. AWS Config を構成し、restricted-ssh ルールのすべての評価結果を SNS トピックへ送信します。SNS トピックにフィルターポリシーを設定し、「NON_COMPLIANT」のテキストを含む通知のみサブスクライバーへ送信します。
- C. AWS Config 評価結果が NON_COMPLIANT となる restricted-ssh ルールに一致する Amazon EventBridge ルールを作成します。EventBridge ルールを構成し、SNS トピック上で AWS Systems Manager Run コマンドを呼び出してカスタム通知を生成し、その通知を SNS トピックへ発行します。
- D. すべての AWS Config 評価結果が NON_COMPLIANT となるイベントに一致する Amazon EventBridge ルールを作成します。restricted-ssh ルール用にインプットトランスフォーマーを設定し、SNS トピックへ通知を発行するように構成します。
正解: A. AWS Config 評価結果が NON_COMPLIANT となる restricted-ssh ルールに一致する Amazon EventBridge ルールを作成します。EventBridge ルールにインプットトランスフォーマーを設定し、SNS トピックへ通知を発行するように構成します。
解説
本問は、AWS Config と EventBridge、SNS を統合してコンプライアンスイベントをリアルタイムで通知する能力を問うものです。AWS の公式ドキュメントによると、AWS Config は構成変更およびコンプライアンス状態を EventBridge へイベントとして送信できます。EventBridge ルールを作成する際には、特定のコンプライアンス状態(例:NON_COMPLIANT)および対応するルール名を指定し、インプットトランスフォーマーを用いてイベント内のセキュリティグループ名や ID などのメタデータを抽出・再構成することが可能です。選択肢 A は、特定ルールの NON_COMPLIANT イベントをフィルタリングし、インプットトランスフォーマーでメッセージ形式をカスタマイズした後、SNS へ送信するため、リアルタイム通知および特定フィールドを含むメッセージという要件を満たします。選択肢 B の SNS フィルターポリシーでは、AWS Config の元のイベント構造からセキュリティグループ情報を直接解析できません。選択肢 C の Systems Manager Run コマンド呼び出しは不要な操作であり、選択肢 D はルールの絞り込み範囲を指定しないため、精度が不足します。