Q97 — AWS DOP-C02 第3章
第 97/100 問 | ← 第3章
セキュリティ監査の要件により、任意の手動ログインが行われたAmazon EC2インスタンスは24時間以内に終了しなければなりません。セキュリティ監査対象アカウント内のすべてのアプリケーションは、Amazon CloudWatch Logsエージェントが構成されたAuto Scalingグループで実行されています。
- A. AWS Step Functionsアプリケーションに対するCloudWatch Logsサブスクリプションを作成します。関数を構成し、ログインイベントを生成したEC2インスタンスにタグを付与して無効化マークを付けます。その後、CloudWatch Eventsルールを作成し、毎日1回、このタグが付与されたすべてのインスタンスを終了させる第2のAWS Lambda関数をトリガーします。
- B. ログインイベントをトリガーとするCloudWatchアラームを作成します。通知を運用チームが購読しているAmazon SNSトピックに送信し、24時間以内にEC2インスタンスを終了するよう依頼します。
- C. ログインイベントをトリガーとするCloudWatchアラームを作成します。アラームをAmazon SQSキューに送信します。ワーカーインスタンスのグループを使用してキューからのメッセージを処理し、その後Amazon CloudWatch Eventsルールをスケジュールします。
- D. AWS Lambda関数内でCloudWatch Logsサブスクリプションを作成します。関数を構成し、ログインイベントを生成したEC2インスタンスにタグを付与して無効化マークを付けます。CloudWatch Eventsルールを作成し、毎日1回、このタグが付与されたすべてのインスタンスを終了させるLambda関数をトリガーします。 ✓
正解: D. AWS Lambda関数内でCloudWatch Logsサブスクリプションを作成します。関数を構成し、ログインイベントを生成したEC2インスタンスにタグを付与して無効化マークを付けます。CloudWatch Eventsルールを作成し、毎日1回、このタグが付与されたすべてのインスタンスを終了させるLambda関数をトリガーします。
解説
この状況において、選択肢Dはより合理的な自動化手法です。まず、AWS Lambda関数内でCloudWatch Logsサブスクリプションを作成することで、ログインイベントを即座に検知し、関連するEC2インスタンスにタグを付与して無効化マークを付けることができます。次に、CloudWatch Eventsルールを用いて毎日1回新しいLambda関数をトリガーし、タグ付きインスタンスを終了させるという完全かつ効果的な自動化フローが構築されます。一方、選択肢AのStep Functionsアプリケーションは相対的に複雑であり、選択肢Bは運用チームによる手動処理に依存しており自動化されておらず、選択肢CはSQSキューおよびワーカーインスタンスを介したメッセージ処理はDほど直接的かつ効率的ではありません。したがって、正解はDです。