Q49 — AWS DOP-C02 第3章
第 49/100 問 | ← 第3章
ある企業は、複数のAWSアカウントで実行されるデータ取り込みアプリケーションを持っています。これらのアカウントはAWS Organizations内の組織に属しています。同社はアプリケーションの監視およびアクセスの統合を必要としています。現在、同社は複数のAuto Scalingグループ上のAmazon EC2インスタンスでこのアプリケーションを実行しています。EC2インスタンスはインターネットにアクセスできません。なぜなら、データが機密であるためです。エンジニアは必要なVPCエンドポイントをすでにデプロイしています。EC2インスタンスはアプリケーション専用に構築されたカスタムAMI上で実行されています。 アプリケーションの保守およびトラブルシューティングのために、システム管理者はEC2インスタンスにログインできる必要があります。このアクセスは自動化され、集中管理される必要があります。インスタンスへのアクセスが発生するたびに、同社のセキュリティチームは通知を受け取る必要があります。 この要件を満たす解決策はどれですか?
- A. ユーザーがEC2インスタンスにログインした際にセキュリティチームに通知を送信するよう、Amazon EventBridge(Amazon CloudWatch Events)ルールを作成します。EC2 Instance Connectを使用してインスタンスにログインします。AWS CloudFormationを使用してAuto Scalingグループをデプロイします。外部アクセス用に適切なVPCルーティングを展開するためcfn-initヘルパーファイルを使用します。カスタムAMIを再構築し、最新版のAWS Systems Managerエージェントを含めます。
- B. NATゲートウェイおよびインターネット接続可能なバストホストをデプロイします。バストホストからのすべてのEC2インスタンスへの着信トラフィックを許可するセキュリティグループを作成します。すべてのEC2インスタンスにAWS Systems Managerエージェントをインストールします。Auto Scalingグループライフサイクルフックを使用してアクセスを監視および監査します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。ログをAmazon CloudWatch Logsのロググループに送信します。監査用にデータをAmazon S3にエクスポートします。S3イベント通知を使用してセキュリティチームに通知を送信します。
- C. EC2 Image Builderを使用してカスタムAMIを再構築します。イメージに最新版のAWS Systems Managerエージェントを含めます。Auto ScalingグループがすべてのEC2インスタンスにAmazonSSMManagedInstanceCoreロールをアタッチするように構成します。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細をAmazon S3に記録するように有効化します。新しいファイルアップロード用にS3通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。
- D. AWS Systems Manager Automationを使用してSystems ManagerエージェントをカスタムAMIに組み込みます。AWS Configを使用してSCPをルート組織アカウントにアタッチし、EC2インスタンスがSystems Managerに接続できるようにします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細をAmazon S3に記録するように有効化します。新しいファイルアップロード用にS3通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。 ✓
正解: D. AWS Systems Manager Automationを使用してSystems ManagerエージェントをカスタムAMIに組み込みます。AWS Configを使用してSCPをルート組織アカウントにアタッチし、EC2インスタンスがSystems Managerに接続できるようにします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細をAmazon S3に記録するように有効化します。新しいファイルアップロード用にS3通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。
解説
選択肢Dは、要件を満たす包括的な解決策を提供します。具体的には、Systems ManagerエージェントをカスタムAMIに統合し、Systems Managerセッションマネージャーを使用してインスタンスへのログインを実現し、セッション詳細をAmazon S3に記録し、SNSトピック経由でセキュリティチームに通知を送信します。これにより、システム管理者はEC2インスタンスへのアクセスを自動化および集中管理でき、セキュリティチームはアクセス発生時に通知を受け取れます。他の選択肢は、一部の重要なコンポーネントが欠けていたり、EC2インスタンスがインターネットにアクセスできないという制約に合致していないものがあります。