Q36 — AWS DVA-C02 第2章
第 36/100 問 | ← 第2章
ある開発者は、AWS Secrets Managerを使用してアプリケーションの機密情報を管理しています。これらのアプリケーションは、時間とともに変化する機密情報を使用します。開発者は、現在も使用中の機密情報を特定したいと考えており、アプリケーションの停止時間を一切発生させたくありません。この要件を満たすためには、開発者はどのようにすべきですか?
- A. AWS CloudTrailを構成してログファイルをAmazon S3バケットに配信します。GetSecretValue Secrets Manager API操作リクエストに対してAmazon CloudWatchアラームを作成します。
- B. secretsmanager-secret-unused AWS Configマネージドルールを作成します。AWS Configマネージドルールが満たされた際に通知を発行するAmazon EventBridgeルールを作成します。 ✓
- C. アプリケーションの機密情報を一時的に無効化し、アプリケーションのエラーログを監視します。
- D. アプリケーションに対してAWS X-Rayを構成します。GetSecretValue Secrets Manager API操作リクエストに一致するサンプリングルールを作成します。
正解: B. secretsmanager-secret-unused AWS Configマネージドルールを作成します。AWS Configマネージドルールが満たされた際に通知を発行するAmazon EventBridgeルールを作成します。
解説
選択肢Bでは、secretsmanager-secret-unusedというAWS Configマネージドルールを作成し、未使用のSecrets Managerシークレットを検出します。その後、AWS Configマネージドルールが満たされた際に通知を発行するAmazon EventBridgeルールを作成します。この方法により、アプリケーションの停止時間を発生させることなく、未使用のシークレットを特定できます。他の選択肢(C:シークレットの一時無効化によるアプリケーション停止リスク、A:API操作監視のみで使用状況の正確な把握が困難、D:X-Rayはトレースに特化しておりシークレット使用状況の検出には不適)は、アプリケーションへの影響または精度の観点から劣ります。