Q34 — AWS DOP-C02 第3章
第 34/100 問 | ← 第3章
ある医療保険サービス会社は、患者の健康状態を監視するアプリケーションのソフトウェアライセンスコストが継続的に増加していることに懸念を抱いています。同社は、アプリケーションがAmazon EC2専用ホスト上でのみ実行されるよう、監査プロセスを確立したいと考えています。DevOpsエンジニアは、このコンプライアンス要件を満たすための監査ソリューションを構築する必要があります。 エンジニアは、最小限の管理オーバーヘッドでこの要件を満たすために、どのような手順を取るべきでしょうか?
- A. AWS Systems Managerのコンプライアンス機能を使用します。put-compliance-items API操作を呼び出して、ホスト配置設定に基づきスキャンおよび非準拠EC2インスタンスのデータベースを構築します。これらのインスタンスIDを保存するためにAmazon DynamoDBテーブルを使用し、迅速なアクセスを可能にします。Systems Managerでlist-compliance-summaries API操作を呼び出してレポートを生成します。
- B. EC2インスタンス上で実行されるカスタムJavaコードを使用します。チェック対象のインスタンス数に応じてEC2 Auto Scalingを設定します。非準拠EC2インスタンスIDのリストをAmazon SQSキューに送信します。別のワーカーインスタンスを設定してSQSキューからインスタンスIDを処理し、Amazon DynamoDBに書き込みます。AWS Lambda関数を使用してSQSキューから取得した非準拠インスタンスIDを終了させ、Amazon SNSメールトピックに配信します。
- C. AWS Configを使用します。そのリージョン内のすべてのAmazon EC2リソースでConfigレコーディングを有効化することで、監査対象となるすべてのEC2インスタンスを特定します。「Config-Rule-Change-Trigger」ブループリントを使用して、AWS Lambda関数をトリガーするカスタムAWS Configルールを作成します。LambdaのevaluateCompliance()関数を修正してホスト配置を検証し、インスタンスがEC2専用ホスト上で実行されていない場合にNON_COMPLIANT結果を返します。AWS Configレポートを使用して非準拠インスタンスを解決します。 ✓
- D. AWS CloudTrailを使用します。EC2 RunCommand API操作へのすべての呼び出しを分析することで、監査対象となるすべてのEC2インスタンスを特定します。AWS Lambda関数を呼び出してインスタンスのホスト配置を分析します。非準拠リソースのEC2インスタンスIDをAmazon RDS for MySQL DBインスタンスに保存します。RDSインスタンスをクエリし、クエリ結果をCSVテキストファイルにエクスポートしてレポートを生成します。
正解: C. AWS Configを使用します。そのリージョン内のすべてのAmazon EC2リソースでConfigレコーディングを有効化することで、監査対象となるすべてのEC2インスタンスを特定します。「Config-Rule-Change-Trigger」ブループリントを使用して、AWS Lambda関数をトリガーするカスタムAWS Configルールを作成します。LambdaのevaluateCompliance()関数を修正してホスト配置を検証し、インスタンスがEC2専用ホスト上で実行されていない場合にNON_COMPLIANT結果を返します。AWS Configレポートを使用して非準拠インスタンスを解決します。
解説
AWS Configサービスは、EC2リソースの構成を継続的に監視し、カスタムルールによってLambda関数を自動的にトリガーして、インスタンスが専用ホスト上にデプロイされているかを検証します。非準拠インスタンスはAWS Configによりマークされ、レポートが生成されます。これは追加のインフラストラクチャを必要としません。選択肢Aは手動API呼び出しとデータベース管理に依存しており、複雑さを増加させます。選択肢Bはカスタムコードとマルチサービス統合を含み、保守コストが高くなります。選択肢DはCloudTrailログ分析に基づくものであり、効率が低く、処理フローが煩雑です。AWS Configの組み込みコンプライアンスチェックメカニズムは、最小限の管理オーバーヘッドという要件を満たします。