Q99 — AWS DOP-C02 第3章
第 99/100 問 | ← 第3章
ある企業がAmazon EC2インスタンスを主要なコンピューティングプラットフォームとして使用しています。開発者チームは、EC2インスタンス上で禁止されたアプリケーションがインストールされていないかを監査したいと考えています。
- A. 各インスタンスにAWS Systems Managerを設定します。Systems Manager Inventoryを使用します。Systems Manager Resource Data Syncを設定し、結果をAmazon S3バケットに同期・保存します。S3バケットに新規オブジェクトが追加されたときに実行されるAWS Lambda関数を作成します。Lambda関数を、禁止されたアプリケーションを特定するように設定します。
- B. 各インスタンスにAWS Systems Managerを設定します。Systems Manager Inventoryを使用して、Systems Manager Inventoryの変更を監視するAWS Configルールを作成し、禁止されたアプリケーションを特定します。 ✓
- C. 各インスタンスにAWS Systems Managerを設定します。Systems Manager Inventoryを使用します。AWS CloudTrailのトレースをSystems Manager Inventoryイベント向けにフィルタリングし、禁止されたアプリケーションを特定します。
- D. Amazon CloudWatch Logsをすべてのアプリケーションインスタンスのログ宛先として指定します。すべてのインスタンスで自動スクリプトを実行し、インストール済みアプリケーションのリストを作成します。スクリプトを、結果をCloudWatch Logsへ転送するように設定します。フィルターパターンを使用してログデータを検索し、禁止されたアプリケーションを特定するCloudWatchアラームを作成します。
正解: B. 各インスタンスにAWS Systems Managerを設定します。Systems Manager Inventoryを使用して、Systems Manager Inventoryの変更を監視するAWS Configルールを作成し、禁止されたアプリケーションを特定します。
解説
AWS Systems Manager Inventoryは、EC2インスタンスのソフトウェア情報を収集でき、AWS Configと組み合わせることでコンプライアンスを自動監視できます。AWS Configルールは、リソースがポリシーに準拠しているかを継続的に評価し、Inventoryデータの更新時にチェックをトリガーします。選択肢Bは、Systems Manager InventoryからConfigルールを生成し、禁止されたアプリケーションをリアルタイムで特定します。選択肢Aは手動Lambda処理に依存し、選択肢Cはアプリケーションのインストール状況ではなくAPI活動を追跡するCloudTrailを使用しており、選択肢Dはカスタムスクリプトとログ分析を必要とし、効率が劣ります。正解は、AWS推奨のサーバーレス自動コンプライアンスソリューションに合致します。