Q49 — AWS DOP-C02 第3章

第 49/100 問 | ← 第3章

ある企業は、複数のAWSアカウントで実行されるデータ取り込みアプリケーションを持っています。これらのアカウントはAWS Organizations内の組織に属しています。同社はアプリケーションの監視およびアクセスの統合を必要としています。現在、同社は複数のAuto Scalingグループ上のAmazon EC2インスタンスでこのアプリケーションを実行しています。EC2インスタンスはインターネットにアクセスできません。なぜなら、データが機密であるためです。エンジニアは必要なVPCエンドポイントをすでにデプロイしています。EC2インスタンスはアプリケーション専用に構築されたカスタムAMI上で実行されています。 アプリケーションの保守およびトラブルシューティングのために、システム管理者はEC2インスタンスにログインできる必要があります。このアクセスは自動化され、集中管理される必要があります。インスタンスへのアクセスが発生するたびに、同社のセキュリティチームは通知を受け取る必要があります。 この要件を満たす解決策はどれですか?

正解: D. AWS Systems Manager Automationを使用してSystems ManagerエージェントをカスタムAMIに組み込みます。AWS Configを使用してSCPをルート組織アカウントにアタッチし、EC2インスタンスがSystems Managerに接続できるようにします。Systems Managerセッションマネージャーを使用してインスタンスにログインします。セッション詳細をAmazon S3に記録するように有効化します。新しいファイルアップロード用にS3通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピック経由でセキュリティチームにメッセージを送信します。

解説

選択肢Dは、要件を満たす包括的な解決策を提供します。具体的には、Systems ManagerエージェントをカスタムAMIに統合し、Systems Managerセッションマネージャーを使用してインスタンスへのログインを実現し、セッション詳細をAmazon S3に記録し、SNSトピック経由でセキュリティチームに通知を送信します。これにより、システム管理者はEC2インスタンスへのアクセスを自動化および集中管理でき、セキュリティチームはアクセス発生時に通知を受け取れます。他の選択肢は、一部の重要なコンポーネントが欠けていたり、EC2インスタンスがインターネットにアクセスできないという制約に合致していないものがあります。