Q15 — AWS DOP-C02 第3章
第 15/100 問 | ← 第3章
DevOpsエンジニアは、AWS WAFを複数のAWSアカウント間でWeb ACLを管理するために使用しています。DevOpsエンジニアは、各アカウント内の対応するApplication Load Balancer(ALB)に対してAWS WAFを有効化することを保証する必要があります。 DevOpsエンジニアは、各アプリケーションスタックのデプロイプロセスの一環として、単一のALBおよびAWS WAFをデプロイするAWS CloudFormationテンプレートを使用しています。ALBがデプロイされた後、AWS WAFはALBに自動的に追加される必要があります。 これらの要件を最も効率的に満たすソリューションはどれですか?
- A. AWS Configを有効化します。alb-wafが有効化されたマネージドルールを追加します。AWS Systems Manager Automationドキュメントを作成し、ALBへのAWS WAF追加を自動化します。ルールを編集して自動修復を有効化し、修復アクションとしてSystems Manager Automationドキュメントを選択します。 ✓
- B. AWS Configを有効化します。alb-wafが有効化されたマネージドルールを追加します。Amazon EventBridgeルールを作成し、すべてのAWS Config項目変更通知タイプをAWS Lambda関数へ送信します。Lambda関数を設定して、AWS Configのstart-resource-evaluation APIを呼び出し、検出モードで評価を実行します。
- C. Amazon EventBridgeルールを設定し、定期的にAWS Lambda関数を呼び出します。このLambda関数は、CloudFormationテンプレート上でバックグラウンドドリフト検出APIを呼び出します。Lambda関数を設定して、AWS::WAFv2::WebACLAssociationリソースがwaf.ail_open.enabledを有効化している場合に、ALBのプロパティをtrueに設定し、ドリフト状態を示すようにします。
- D. Amazon EventBridgeルールを設定し、定期的にAWS Lambda関数を呼び出します。このLambda関数は、CloudFormationテンプレート上でバックグラウンドドリフト検出APIを呼び出します。Lambda関数を設定して、AWS::WAFv2::WebACLAssociationリソースがドリフト状態を示す場合に、CloudFormationスタックを削除・再デプロイします。
正解: A. AWS Configを有効化します。alb-wafが有効化されたマネージドルールを追加します。AWS Systems Manager Automationドキュメントを作成し、ALBへのAWS WAF追加を自動化します。ルールを編集して自動修復を有効化し、修復アクションとしてSystems Manager Automationドキュメントを選択します。
解説
ALBとAWS WAFの関連付け管理には、継続的な監視および自動修正が必要です。AWS Configサービスは、マネージドルールを定義することでリソースのコンプライアンス状態(例:ALBが指定されたWeb ACLと関連付けられているか)を検出できます。ALBがWAFと関連付けられていない状態(例:alb-wafルールが非コンプライアントを検出した場合)、AWS Configは自動修復アクションを設定でき、Systems Manager Automationドキュメントを呼び出して関連付けを実行できます。このソリューションは、定期的なポーリングや手動介入を必要とせず、AWSネイティブサービスのイベント駆動型メカニズムを活用するため、リアルタイム性が高く、運用コストが最小限です。選択肢Aはマネージドルールで検出基準を定義し、Automationドキュメントで修正を実施し、自動修復機能で完全なクローズループを実現しており、高い運用効率を満たします。