Q23 — AWS DOP-C02 第3章
第 23/100 問 | ← 第3章
ある企業が、Amazon Elastic Container Registry (Amazon ECR)のプライベートレジストリを使用してコンテナイメージを保存しています。 開発者チームは、コンテナイメージが定期的にソフトウェアパッケージの脆弱性をスキャンすることを保証する必要があります。
- A. Amazon ECRのプライベートレジストリに対して強化スキャンを有効化します。 ✓
- B. Amazon ECRのプライベートレジストリに対して基本的な連続スキャンを有効化します。
- C. AWS SDKを使用してイメージをスキャンするAWS Systems Manager Automationドキュメントを作成します。新しいイメージがECRレジストリにプッシュされたときに、Automationドキュメントが実行されるように構成します。
- D. AWS SDKを使用してAmazon ECR内のすべてのイメージをスキャンするAWS Lambda関数を作成します。毎日Amazon EventBridgeルールを作成し、Lambda関数を呼び出します。
正解: A. Amazon ECRのプライベートレジストリに対して強化スキャンを有効化します。
解説
Amazon Elastic Container Registry (ECR)は、イメージの脆弱性スキャン機能を提供しています。公式ドキュメントによると、基本スキャンは各イメージのプッシュ後に自動的に実行されますが、強化スキャンはオンデマンドまたはカスタムトリガーで実行可能であり、より詳細な脆弱性評価を提供します。本問では「定期的にスキャン」することが求められており、強化スキャンはスキャン頻度をユーザーが設定できるため、継続的な脆弱性検出ニーズを満たします。選択肢Bの基本スキャンはプッシュイベントのみに対応し、周期的なスキャンはサポートしておらず、選択肢CおよびDはカスタムスクリプトによる実装ですが、追加の運用コストがかかります。一方、選択肢Aは組み込みの強化スキャン機能を活用し、複雑な設定なしで定期スキャン要件を満たします。