Q43 — AWS DOP-C02 第3章

第 43/100 問 | ← 第3章

ある企業はAmazon S3バケットを使用して機密情報を保存しています。開発チームは毎日新しい項目用にS3バケットを作成します。セキュリティチームは、既存および新規のS3バケットに対して暗号化、ログ記録、バージョン管理が有効化されていることを保証したいと考えています。さらに、どのバケットも公開書き込み可能であってはなりません。 DevOpsエンジニアはこれらの要件をどのように満たすべきですか?

正解: B. AWS Systems Managerドキュメントを使用してAWS Configルールを有効化し、自動修復を構成します。

解説

この問題は、S3バケットの設定コンプライアンスを保証するためのAWSサービスの使用方法を問うものです。AWS公式ドキュメントによると、AWS Configは事前定義されたルールに基づいてリソースの適合性を評価し、Systems Manager Automationと組み合わせることで自動修復を実現できます。選択肢Bでは、AWS ConfigがS3バケットの設定を継続的に監視し、暗号化・ログ記録・バージョン管理が有効化されていない場合にSystems Managerドキュメントをトリガーして自動修復操作を実行します。他の選択肢では、CloudTrail(A)は自動修復機能を持たず、Trusted Advisor(C)は推奨のみを提供し、Systems Manager(D)はConfigとの統合について言及していません。