Q14 — AWS SCS-C02 第1章
第 14/100 問 | ← 第1章
ある企業が、Amazon Elastic Container Service(Amazon ECS)を用いてAWS上でコンテナベースのアプリケーションを実行しています。同社は、コンテナイメージに重大な脆弱性が含まれていないことを保証する必要があります。また、特定のIAMロールおよび特定のAWSアカウントのみがコンテナイメージにアクセスできるようにする必要があります。 これらの要件を満たすソリューションのうち、管理オーバーヘッドが最も少ないものはどれですか?
- A. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内でスキャンオンプッシュを有効化したAmazon Elastic Container Registry(Amazon ECR)リポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。IDベースのポリシーを用いて、どのIAMプリンシパルがイメージにアクセスできるかを制限します。
- B. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内のAmazon EC2インスタンスでホストされるプライベートコンテナレジストリに公開します。Amazon ECSを実行するEC2インスタンスにホストベースのコンテナスキャンツールを展開します。HTTPS経由の基本認証を用いて、コンテナイメージへのアクセスを制限します。
- C. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内でスキャンオンプッシュを有効化したAmazon Elastic Container Registry(Amazon ECR)リポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。リポジトリポリシーおよびIDベースのポリシーを用いて、どのIAMプリンシパルおよびアカウントがイメージにアクセスできるかを制限します。 ✓
- D. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内のAWS CodeArtifactリポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。リポジトリポリシーおよびIDベースのポリシーを用いて、どのIAMプリンシパルおよびアカウントがイメージにアクセスできるかを制限します。
正解: C. パブリックコンテナレジストリからイメージをプルし、中央集約型AWSアカウント内でスキャンオンプッシュを有効化したAmazon Elastic Container Registry(Amazon ECR)リポジトリに公開します。CI/CDパイプラインを用いて、イメージを異なるAWSアカウントにデプロイします。リポジトリポリシーおよびIDベースのポリシーを用いて、どのIAMプリンシパルおよびアカウントがイメージにアクセスできるかを制限します。
解説
本問は、コンテナイメージの重大な脆弱性検出およびアクセス制御を求めるものです。Amazon ECRは、イメージプッシュ時に自動的に脆弱性スキャンを行う機能を提供し、脆弱性検出要件を満たします。アクセス制御には、リポジトリポリシー(クロスアカウント承認)およびIDベースポリシー(IAMロール権限)の両方を組み合わせる必要があります。選択肢Cは、ECRのスキャン設定を正しく活用し、リポジトリポリシー(リソースポリシー)およびIDベースポリシーを併用して、クロスアカウントおよび特定IAMプリンシパルへのアクセス制限を実現しており、要件を網羅しています。選択肢Aはリポジトリポリシーを言及しておらず、クロスアカウント権限が不足する可能性があります。選択肢Bは自前のレジストリであり、運用コストが高くなります。選択肢DのCodeArtifactは専用コンテナレジストリではなく、統合度が低いです。AWSドキュメントにおけるECRのイメージスキャンおよびクロスアカウントアクセスのベストプラクティスを参照してください。