Q54 — AWS SAP-C02 第3章

第 54/75 問 | ← 第3章

Q279. ある企業は、インフラストラクチャ全体をAWS上に構築しています。同社はAmazon EC2インスタンスでECサイトのウェブアプリケーションをホストし、静的データをAmazon S3に保存しています。また、クラウドの運用管理および開発作業は、3名のエンジニアが1つのAWSアカウントを共有して行っています。ところが、時折、あるエンジニアが他のエンジニアが設定したEC2セキュリティグループの設定を誤って変更し、環境のコンプライアンス違反を引き起こしています。ソリューションアーキテクトは、エンジニアによる変更を追跡する仕組みを構築し、EC2インスタンスのセキュリティ設定に対する非コンプライアンスな変更が行われた際にアラートを送信する必要があります。これらの要件を満たすための、最も迅速な方法は何ですか?

正解: D. EC2セキュリティグループに対してAWS Configを有効化して、非コンプライアンスな変更を追跡し、Amazon Simple Notification Service(Amazon SNS)トピックを通じて変更内容をアラートとして送信する

解説

エンジニアによる変更を追跡し、EC2セキュリティグループに対する非コンプライアンスな変更が発生した際にアラートを送信するという要件を満たすソリューションは、選択肢Dです。つまり、「EC2セキュリティグループに対してAWS Configを有効化して非コンプライアンスな変更を追跡し、Amazon SNSトピックを通じてアラートを送信する」方法です。このソリューションでは、AWS ConfigをEC2セキュリティグループに適用することで、エンジニアによる非コンプライアンスな変更を自動的に監視・記録し、検出時にAmazon SNSトピック経由で即座に通知できます。追加の複雑な設定を必要とせず、迅速に導入可能なため、要件を満たす最も速い方法です。 一方、A、B、Cは最適なソリューションではありません。 A:AWS OrganizationsのセットアップとSCPの適用は、非コンプライアンスなセキュリティグループ変更の管理・追跡には有効ですが、組織単位の作成やポリシーの設計・テストなど、追加の設定作業が多く、導入に時間がかかります。 B:AWS CloudTrailによる変更ログの収集とCloudWatchルールによるアラート送信も可能ですが、CloudTrailイベントのフィルタリングやCloudWatchルールの条件定義、さらには非コンプライアンス判定のロジック(例:Lambda関数など)を別途実装する必要があり、AWS Configと比較して設定が複雑で時間がかかります。 C:SCPはAWSアカウント内でのリソースアクセスを制御するものであり、変更の「追跡」や「アラート送信」機能は備えていません。したがって、非コンプライアンスな変更を検出して通知するという要件を満たすことはできません。