Q34 — AWS DOP-C02 第3章

第 34/100 問 | ← 第3章

ある医療保険サービス会社は、患者の健康状態を監視するアプリケーションのソフトウェアライセンスコストが継続的に増加していることに懸念を抱いています。同社は、アプリケーションがAmazon EC2専用ホスト上でのみ実行されるよう、監査プロセスを確立したいと考えています。DevOpsエンジニアは、このコンプライアンス要件を満たすための監査ソリューションを構築する必要があります。 エンジニアは、最小限の管理オーバーヘッドでこの要件を満たすために、どのような手順を取るべきでしょうか?

正解: C. AWS Configを使用します。そのリージョン内のすべてのAmazon EC2リソースでConfigレコーディングを有効化することで、監査対象となるすべてのEC2インスタンスを特定します。「Config-Rule-Change-Trigger」ブループリントを使用して、AWS Lambda関数をトリガーするカスタムAWS Configルールを作成します。LambdaのevaluateCompliance()関数を修正してホスト配置を検証し、インスタンスがEC2専用ホスト上で実行されていない場合にNON_COMPLIANT結果を返します。AWS Configレポートを使用して非準拠インスタンスを解決します。

解説

AWS Configサービスは、EC2リソースの構成を継続的に監視し、カスタムルールによってLambda関数を自動的にトリガーして、インスタンスが専用ホスト上にデプロイされているかを検証します。非準拠インスタンスはAWS Configによりマークされ、レポートが生成されます。これは追加のインフラストラクチャを必要としません。選択肢Aは手動API呼び出しとデータベース管理に依存しており、複雑さを増加させます。選択肢Bはカスタムコードとマルチサービス統合を含み、保守コストが高くなります。選択肢DはCloudTrailログ分析に基づくものであり、効率が低く、処理フローが煩雑です。AWS Configの組み込みコンプライアンスチェックメカニズムは、最小限の管理オーバーヘッドという要件を満たします。