Q33 — AWS DOP-C02 第3章
第 33/100 問 | ← 第3章
ある企業が、内部のビルドプロセスをコンテナ化しました。同社はAmazon EC2インスタンス上でJenkinsを実行しており、これはパッチ適用およびアップグレードを必要としています。コンプライアンス担当者は、DevOpsエンジニアに対し、ビルド成果物(アーティファクト)の暗号化を開始するよう指示しました。なぜなら、これらには企業の知的財産が含まれているためです。
- A. EC2インスタンス上でAWS Systems Managerを用いてパッチ適用およびアップグレードを自動実行し、Amazon EBSボリュームを暗号化します。
- B. JenkinsをAmazon ECSクラスターにデプロイし、ビルド成果物をデフォルト暗号化が有効なAmazon S3バケットにコピーします。
- C. AWS CodePipelineをビルド操作に活用し、AWS Secrets Managerを用いて成果物を暗号化します。
- D. EC2インスタンス上で実行されるJenkinsインスタンスを、成果物の暗号化機能を備えたAWS CodeBuildで置き換えます。 ✓
正解: D. EC2インスタンス上で実行されるJenkinsインスタンスを、成果物の暗号化機能を備えたAWS CodeBuildで置き換えます。
解説
AWS公式ドキュメントによると、AWS CodeBuildは完全マネージドサービスであり、ビルド成果物の暗号化機能を組み込みで提供しています。選択肢Dは、CodeBuildを自己管理型のJenkinsインスタンスと置き換えることで、AES-256暗号化をデフォルトで利用し、ビルド成果物を処理できます。これは、サーバーレスアーキテクチャにおける最小限の保守コストという原則に合致します。選択肢Aはインフラストラクチャ層の暗号化のみを提供し、アプリケーション層のデータはカバーしておらず、選択肢Bは追加のストレージステップを導入して複雑さを増し、選択肢CのSecrets Managerは資格情報管理ツールであり、ファイル暗号化のためのものではありません。正解のDは、サービスの置き換えによって暗号化を自動化し、「最も容易に保守可能」という問題文の核心要件を満たします。