Q16 — AWS DOP-C02 第3章
第 16/100 問 | ← 第3章
あるDevOpsチームが、AWS ConfigでカスタムLambdaルールを作成しました。このルールは、Amazon Elastic Container Registry(Amazon ECR)ポリシーの変更に関するECR:*アクションを監視します。 不適合なリポジトリが検出された場合、Amazon EventBridgeがAmazon Simple Notification Service(Amazon SNS)を介してセキュリティチームへ通知をルーティングします。 カスタムAWS Configルールを評価する際に、AWS Lambda関数が実行されません。 この問題を解決するソリューションはどれですか?
- A. Lambda関数のリソースポリシーを変更し、AWS Configがその関数を呼び出す権限を付与します。 ✓
- B. SNSトピックポリシーを変更し、EventBridgeがSNSトピックへ公開するための設定変更を含めるようにします。
- C. Lambda関数の実行ロールを変更し、カスタムAWS Configルールの設定変更を含むようにします。
- D. すべてのECRリポジトリポリシーを変更し、必要なECR API操作に対するAWS Configのアクセスを許可します。
正解: A. Lambda関数のリソースポリシーを変更し、AWS Configがその関数を呼び出す権限を付与します。
解説
AWS ConfigのカスタムルールがLambda関数を呼び出して評価を行うには、Lambda関数がAWS Configからの呼び出しを許可する必要があります。Lambdaのリソースポリシーは、他のサービスがその関数を呼び出すことを許可するかどうかを制御します。AWS公式ドキュメントによると、カスタムルールを作成する際には、LambdaのリソースポリシーにAWS Configサービスを呼び出し元として含める必要があります。選択肢Aは、この権限問題を直接解決し、AWS Configが関数を呼び出せるようにします。他の選択肢(SNSポリシー、実行ロール、ECRポリシー)は、AWS ConfigがLambdaをトリガーするための権限とは無関係です。