Q94 — AWS DOP-C02 第2章

第 94/100 問 | ← 第2章

ある企業が、AWS Organizations内の組織に属する複数のAWSアカウントで実行されるデータ取り込みアプリケーションを運用しています。企業はこのアプリケーションの監視およびアクセスの統合を必要としています。現在、このアプリケーションは複数のAuto Scalingグループから構成されるAmazon EC2インスタンス上で実行されています。EC2インスタンスはインターネットへのアクセスを許可しておらず、データが機密であるためです。エンジニアは必要なVPCエンドポイントをすでにデプロイ済みです。EC2インスタンスは、このアプリケーション専用に構築されたカスタムAMI上で実行されています。 アプリケーションの保守およびトラブルシューティングのために、システム管理者がEC2インスタンスにログインできる必要があります。このアクセスは自動化され、集中管理される必要があります。また、インスタンスへのアクセスが発生するたびに、企業のセキュリティチームに通知が送信される必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. EC2 Image Builderを使用してカスタムAMIを再構築します。イメージに最新版のAWS Systems Managerエージェントを含めます。Auto Scalingグループを設定して、すべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細情報をAmazon S3に記録するように有効化します。新しいファイルアップロードに対してS3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。

解説

正解はCです。まず、EC2 Image Builderを使用してカスタムAMIを再構築し、最新版のAWS Systems Managerエージェントを含めることで、システム管理機能の可用性が保証されます。次に、Auto Scalingグループを設定してすべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチすることで、後続の管理操作に必要な権限が付与されます。Systems Managerセッションマネージャーを使用してインスタンスにログインすることで、集中制御による自動化されたアクセスが実現されます。セッション詳細情報をAmazon S3に記録し、新しいファイルアップロードに対してS3イベント通知を設定してAmazon SNSトピック経由でセキュリティチームにメッセージを送信することで、セキュリティチームへの通知要件も満たされます。以上より、選択肢Cは問題文のすべての要件を満たします。