Q43 — AWS DOP-C02 第3章
第 43/100 問 | ← 第3章
ある企業はAmazon S3バケットを使用して機密情報を保存しています。開発チームは毎日新しい項目用にS3バケットを作成します。セキュリティチームは、既存および新規のS3バケットに対して暗号化、ログ記録、バージョン管理が有効化されていることを保証したいと考えています。さらに、どのバケットも公開書き込み可能であってはなりません。 DevOpsエンジニアはこれらの要件をどのように満たすべきですか?
- A. AWS CloudTrailを有効化し、AWS Lambdaを使用して自動修復を構成します。
- B. AWS Systems Managerドキュメントを使用してAWS Configルールを有効化し、自動修復を構成します。 ✓
- C. Amazon EventBridgeを使用してAWS Trusted Advisorを有効化し、自動修復を構成します。
- D. AWS Systems Managerを有効化し、Systems Managerドキュメントを使用して自動修復を構成します。
正解: B. AWS Systems Managerドキュメントを使用してAWS Configルールを有効化し、自動修復を構成します。
解説
この問題は、S3バケットの設定コンプライアンスを保証するためのAWSサービスの使用方法を問うものです。AWS公式ドキュメントによると、AWS Configは事前定義されたルールに基づいてリソースの適合性を評価し、Systems Manager Automationと組み合わせることで自動修復を実現できます。選択肢Bでは、AWS ConfigがS3バケットの設定を継続的に監視し、暗号化・ログ記録・バージョン管理が有効化されていない場合にSystems Managerドキュメントをトリガーして自動修復操作を実行します。他の選択肢では、CloudTrail(A)は自動修復機能を持たず、Trusted Advisor(C)は推奨のみを提供し、Systems Manager(D)はConfigとの統合について言及していません。