Q100 — AWS DOP-C02 第3章
第 100/100 問 | ← 第3章
ある企業の開発者がAmazon EC2インスタンスをリモートワークステーションとして使用しています。同社は、ユーザーが制限のないアクセスを許可するEC2セキュリティグループルールを作成または変更することを懸念しています。DevOpsエンジニアは、ユーザーが制限のないセキュリティグループルールを作成したことを検出するソリューションを開発する必要があります。このソリューションは、セキュリティグループルールの変更をほぼリアルタイムで検出し、制限のないルールを削除し、セキュリティチームへ電子メール通知を送信する必要があります。DevOpsエンジニアは、セキュリティグループIDを入力としてチェックし、制限のないアクセスを許可するルールを削除し、Amazon Simple Notification Service(Amazon SNS)を通じて通知を送信するAWS Lambda関数を作成しました。DevOpsエンジニアは、次のステップとして何を行うべきですか?
- A. SNSトピックによって呼び出されるLambda関数を設定します。SNSトピックに対してAWS CloudTrailサブスクリプションを作成します。セキュリティグループ変更イベント向けにサブスクリプションフィルターを設定します。
- B. Amazon EventBridgeの予約ルールを作成し、Lambda関数を呼び出します。Lambda関数を1時間ごとに実行するスケジュールモードを定義します。
- C. Amazon EventBridgeイベントルールを作成し、デフォルトイベントバスをソースとして使用します。EC2セキュリティグループの作成および変更イベントに一致するイベントパターンをルールに定義します。ルールをLambda関数を呼び出すように設定します。 ✓
- D. すべてのAWSサービスからのイベントをサブスクライブするAmazon EventBridgeカスタムイベントバスを作成します。Lambda関数をカスタムイベントバスによって呼び出されるように設定します。
正解: C. Amazon EventBridgeイベントルールを作成し、デフォルトイベントバスをソースとして使用します。EC2セキュリティグループの作成および変更イベントに一致するイベントパターンをルールに定義します。ルールをLambda関数を呼び出すように設定します。
解説
AWSサービスにおいて、EventBridge(旧CloudWatch Events)はAWSリソースのイベントを監視・応答するために使用されます。EC2セキュリティグループが作成または変更されると、デフォルトイベントバスは関連するAPI操作(例:AuthorizeSecurityGroupIngress)をキャプチャします。選択肢Cは、EC2セキュリティグループイベントに一致するイベントルールを作成し、Lambda関数をトリガーすることで、リアルタイム検出の要件を満たします。選択肢AはSNSトピックを介したトリガーであり、直接的なイベント駆動ではないため不適切です。選択肢Bの予約ルールはリアルタイム応答ができず、選択肢Dのカスタムイベントバスは不要であり、デフォルトイベントバスが既にAWSサービスイベントをサポートしています。EventBridgeイベントパターンとLambdaの統合は標準的なソリューションであり、セキュリティグループ変更を迅速に処理できます。