Q86 — AWS DOP-C02 第3章

第 86/100 問 | ← 第3章

ある企業が、1つのAWSアカウントを用いて1つのAWSリージョンで数百台のAmazon EC2インスタンスを実行しています。このアカウントでは、毎日多数の新しいEC2インスタンスが起動および終了しています。また、1週間以上継続して実行中の既存のEC2インスタンスも含まれています。 企業のセキュリティポリシーでは、実行中のすべてのEC2インスタンスがEC2インスタンスプロファイルを使用することを義務付けています。EC2インスタンスがインスタンスプロファイルをアタッチされていない場合、そのインスタンスは、未割り当てのIAM権限を持つデフォルトのインスタンスプロファイルを使用しなければなりません。 DevOpsエンジニアがアカウントをレビューしたところ、いくつかのEC2インスタンスがインスタンスプロファイルなしで実行されていることが確認されました。レビュー期間中、DevOpsエンジニアは、新しいEC2インスタンスがインスタンスプロファイルなしで起動していることも観測しました。 このリージョンで実行中の既存および今後起動するすべてのEC2インスタンスにインスタンスプロファイルを確実にアタッチするソリューションはどれですか?

正解: B. AWS Configのマネージドルール「ec2-instance-profile-attached」を、構成変更をトリガーとするタイプで設定します。自動修復アクションを設定し、AWS Systems Manager Automationランブックを呼び出して、EC2インスタンスにデフォルトのインスタンスプロファイルをアタッチします。

解説

AWSサービスの組み合わせとして、AWS Configはリソースのコンプライアンスを継続的に監視し、自動修復をトリガーするために使用されます。AWS Configのマネージドルールは、EC2インスタンスがインスタンスプロファイルをアタッチされているかを検出でき、自動修復アクションとしてSystems Manager Automationランブックを呼び出すことで修正を実行できます。選択肢Bは、AWS Configによるリアルタイム監視とSystems Manager Automationによる自動修復を組み合わせており、既存および新規起動のインスタンスを包括的にカバーし、セキュリティポリシーへの準拠を保証します。他の選択肢はEventBridgeまたはLambdaに依存しており、すべてのインスタンス起動シナリオを網羅できない可能性があり、継続的な監視機能も欠如しています。