Q63 — AWS DOP-C02 第3章
第 63/100 問 | ← 第3章
ある企業には、すべてのAmazon EC2インスタンスが、セキュリティチームが作成したAMIから起動しなければならないという方針があります。毎週、セキュリティチームは最新の準拠AMIに関する情報を含むメールを開発チームに送信します。 開発チームは、AWS CloudFormationを使用してアプリケーションをデプロイしています。開発者が新しいサービスを展開する際には、メール内でセキュリティチームが提供した最新のAMIを検索します。DevOpsエンジニアは、セキュリティチームが開発チームにAMI IDを提供するプロセスを自動化したいと考えています。 これらの要件を満たす、最もスケーラブルなソリューションは何ですか?
- A. セキュリティチームに対し、CloudFormationを使用してAMIの新バージョンを作成し、暗号化されたAmazon S3オブジェクト内にAMI ARNをスタック出力の一部として記録するよう指示します。開発者に対し、クロススタック参照を使用して暗号化S3オブジェクトを読み込み、最新のAMIを取得するよう指示します。
- B. セキュリティチームに対し、CloudFormationスタックを使用してAWS CodePipelineを作成し、新しいAMIをビルドし、パイプライン出力の一部として暗号化されたAmazon S3オブジェクトに最新のAMI ARNを配置するよう指示します。開発者に対し、自身のCloudFormationテンプレート内でクロススタック参照を使用してS3オブジェクトの場所と最新のAMI ARNを取得するよう指示します。
- C. セキュリティチームに対し、Amazon EC2 Image Builderを使用して新しいAMIを作成し、AMI ARNをAWS Systems Managerパラメータストアにパラメータとして格納するよう指示します。開発者に対し、CloudFormationスタック内でSSMタイプのパラメータを指定して、パラメータストアから最新のAMI ARNを取得するよう指示します。 ✓
- D. セキュリティチームに対し、Amazon EC2 Image Builderを使用して新しいAMIを作成し、各開発チームが通知を受け取れるようAmazon Simple Notification Service(Amazon SNS)トピックを作成するよう指示します。開発チームが通知を受け取った際、最新のAMI ARNでCloudFormationスタックを更新するAWS Lambda関数を作成するよう指示します。
正解: C. セキュリティチームに対し、Amazon EC2 Image Builderを使用して新しいAMIを作成し、AMI ARNをAWS Systems Managerパラメータストアにパラメータとして格納するよう指示します。開発者に対し、CloudFormationスタック内でSSMタイプのパラメータを指定して、パラメータストアから最新のAMI ARNを取得するよう指示します。
解説
Amazon EC2 Image Builderは、準拠したAMIを自動化して作成するためのサービスであり、AWS Systems Managerパラメータストアは、安全かつスケーラブルな構成値の保存方法を提供します。AMI IDをパラメータとして格納することで、CloudFormationテンプレートはSSMパラメータタイプを用いて最新の値を動的に参照でき、手動更新は不要になります。他の選択肢は、S3のクロススタック参照やカスタムLambda関数を必要とし、複雑さと保守コストが高くなります。選択肢Cは、マネージドサービスを活用してシームレスな統合を実現し、ベストプラクティスに従っています。AWSドキュメントでも、SSMパラメータストアとCloudFormationの組み合わせによる動的構成管理が推奨されています。