Q65 — AWS SAA-C03 第3章

第 65/65 問 | ← 第3章

Q195. ある企業はAmazon Machine Images(AMI)を管理したいと考えています。現在、同社はAMIを、作成されたのと同じAWSリージョンにコピーしています。同社は、AWS API呼び出しをキャプチャし、同社のAWSアカウント内でAmazon EC2のCreateImage API操作が実行された際にアラートを送信するアプリケーションを設計する必要があります。これらの要件を満たすうち、運用オーバーヘッドが最も少ないソリューションはどれですか?

正解: C. CreateImage API呼び出しを対象としたAmazon EventBridge(旧Amazon CloudWatch Events)ルールを作成します。ターゲットとしてAmazon Simple Notification Service(Amazon SNS)トピックを指定し、CreateImage API呼び出しが検出された際にアラートを送信します。

解説

選択肢Aでは、AWS CloudTrailログをクエリするAWS Lambda関数を作成し、CreateImage API呼び出しが検出された際にアラートを送信する方法が提案されています。この手法は機能しますが、Amazon EventBridgeを利用する場合と比較すると、より多くの構成管理が必要になる可能性があります。選択肢Bでは、AWS CloudTrailをAmazon S3へのログ配信時にAmazon SNS通知を発行するように設定し、Amazon Athenaでテーブルを作成・クエリする方法が提案されています。この手法も機能し、ログの柔軟なクエリが可能ですが、Amazon EventBridgeを利用する場合と比較して、運用オーバーヘッドと複雑さが高くなります。選択肢Dでは、AWS CloudTrailログのターゲットとしてAmazon SQS FIFOキューを設定し、Lambda関数でCreateImage呼び出しを検出してAmazon SNSへアラートを送信する方法が提案されています。この手法も機能しますが、追加のインフラストラクチャ構築が必要であり、Amazon EventBridgeで要件を満たせる場合には不必要です。一方、CreateImage API呼び出しを対象としたAmazon EventBridgeルールを作成し、そのターゲットとしてAmazon SNSトピックを指定することで、アカウント内でのCreateImage API呼び出しを検知し、即座にAmazon SNSによるアラートを送信できます。このソリューションは、イベントの検出・ルーティング・配信をAmazon EventBridgeが容易に処理できるため、運用オーバーヘッドが最小限に抑えられ、特別なインフラ構築や大規模な構成管理を必要としません。