Q10 — AWS SAA-C03 第2章
第 10/65 問 | ← 第2章
Q75. ある企業が、WebアプリケーションをAWSクラウド上にホストしています。同社では、Elastic Load BalancerがAWS Certificate Manager(ACM)にインポートされた証明書を使用するように設定されています。セキュリティチームは、各証明書の有効期限が切れる30日前に通知を受ける必要があります。この要件を満たすために、ソリューションアーキテクトは何を推奨すべきでしょうか?
- A. ACM内にルールを追加し、有効期限が30日以内に切れる証明書がある場合、毎日1回、Amazon Simple Notification Service(Amazon SNS)トピックへカスタムメッセージを発行する。
- B. AWS Configルールを作成して、30日以内に有効期限が切れる証明書をチェックします。AWS Configが非準拠リソースを報告した際に、Amazon EventBridge(Amazon CloudWatch Events)がAmazon Simple Notification Service(Amazon SNS)を介してカスタムアラートを送信するよう設定します。
- C. AWS Trusted Advisor を使用して、30日以内に有効期限が切れる証明書をチェックします。Trusted Advisor のチェックステータス変更を基にした Amazon CloudWatch アラームを作成し、そのアラームが Amazon Simple Notification Service(Amazon SNS)を介してカスタムアラートを送信するよう設定します。
- D. Amazon EventBridge(Amazon CloudWatch Events)ルールを作成して、30日以内に有効期限が切れる証明書を検出します。このルールがAWS Lambda関数を呼び出すよう設定し、Lambda関数がAmazon Simple Notification Service(Amazon SNS)を介してカスタムアラートを送信するよう設定します。 ✓
正解: D. Amazon EventBridge(Amazon CloudWatch Events)ルールを作成して、30日以内に有効期限が切れる証明書を検出します。このルールがAWS Lambda関数を呼び出すよう設定し、Lambda関数がAmazon Simple Notification Service(Amazon SNS)を介してカスタムアラートを送信するよう設定します。
解説
ACMは、証明書の有効期限に関するイベントをAmazon EventBridgeに自動的に発行します(例:'ACM Certificate Expiring Soon')。このネイティブなイベントを活用し、EventBridgeルールで該当イベントをキャッチしてLambda関数を起動し、SNSによる通知を送信するのが最もシンプルかつ信頼性の高い方法です。選択肢AはACMにはルール機能が存在しないため不正。選択肢BのAWS ConfigはACM証明書の監視をネイティブにサポートしておらず、カスタム評価器が必要でオーバーヘッドが大きい。選択肢CのTrusted Advisorは、証明書の有効期限チェックを提供していません(2023年以降、このチェックは廃止済み)。したがって、正解はDです。