Q94 — AWS DOP-C02 第2章
第 94/100 問 | ← 第2章
ある企業が、AWS Organizations内の組織に属する複数のAWSアカウントで実行されるデータ取り込みアプリケーションを運用しています。企業はこのアプリケーションの監視およびアクセスの統合を必要としています。現在、このアプリケーションは複数のAuto Scalingグループから構成されるAmazon EC2インスタンス上で実行されています。EC2インスタンスはインターネットへのアクセスを許可しておらず、データが機密であるためです。エンジニアは必要なVPCエンドポイントをすでにデプロイ済みです。EC2インスタンスは、このアプリケーション専用に構築されたカスタムAMI上で実行されています。 アプリケーションの保守およびトラブルシューティングのために、システム管理者がEC2インスタンスにログインできる必要があります。このアクセスは自動化され、集中管理される必要があります。また、インスタンスへのアクセスが発生するたびに、企業のセキュリティチームに通知が送信される必要があります。 これらの要件を満たすソリューションはどれですか?
- A. ユーザーがEC2インスタンスにログインした際にセキュリティチームに通知を送信するAmazon EventBridgeルールを作成します。EC2 Instance Connectを使用してインスタンスにログインします。AWS CloudFormationを使用してAuto Scalingグループをデプロイします。外部アクセス用の適切なVPCルーティングを展開するためにcfn-initヘルパースクリプトを使用します。カスタムAMIを再構築し、最新版のAWS Systems Managerエージェントを含めます。
- B. NATゲートウェイとインターネット接続可能なバストホストをデプロイします。バストホストからのすべてのEC2インスタンスへの着信トラフィックを許可するセキュリティグループを作成します。すべてのEC2インスタンスにAWS Systems Managerエージェントをインストールします。Auto Scalingグループのライフサイクルフックを使用してアクセスを監視および監査します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。ログをAmazon CloudWatch Logsのロググループに送信します。データをAmazon S3にエクスポートして監査します。S3イベント通知を使用してセキュリティチームに通知を送信します。
- C. EC2 Image Builderを使用してカスタムAMIを再構築します。イメージに最新版のAWS Systems Managerエージェントを含めます。Auto Scalingグループを設定して、すべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録するように有効化します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。 ✓
- D. AWS Systems Manager Automationを使用して、Systems ManagerエージェントをカスタムAMIに組み込みます。AWS Configを使用して、ルート組織アカウントにSCPをアタッチし、EC2インスタンスがSystems Managerに接続することを許可します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録するように有効化します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。
正解: C. EC2 Image Builderを使用してカスタムAMIを再構築します。イメージに最新版のAWS Systems Managerエージェントを含めます。Auto Scalingグループを設定して、すべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録するように有効化します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。
解説
正解はCです。まず、EC2 Image Builderを使用してカスタムAMIを再構築し、最新版のAWS Systems Managerエージェントを含めることで、システム管理機能の可用性が保証されます。次に、Auto Scalingグループを設定してすべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチすることで、後続の管理操作に必要な権限が付与されます。Systems Managerセッションマネージャーを使用してインスタンスにログインすることで、集中制御による自動化されたアクセスが実現されます。セッション詳細情報をAmazon S3に記録し、新しいファイルアップロードに対してS3イベント通知を設定してAmazon SNSトピック経由でセキュリティチームにメッセージを送信することで、セキュリティチームへの通知要件も満たされます。以上より、選択肢Cは問題文のすべての要件を満たします。