Q18 — AWS SCS-C02 第1章

第 18/100 問 | ← 第1章

ある企業は、機密顧客データを保存するAmazon EC2インスタンス上でアプリケーションを実行しています。同社は顧客データへのアクセスを制限する必要があります。セキュリティエンジニアは、アプリケーションをホストするEC2インスタンスへの安全なアクセスを要求します。会社の方針によると、ユーザーは入力ポートを開けず、バスティオンホストを維持せず、EC2インスタンスのSSHキーを管理してはなりません。セキュリティエンジニアは、すべてのセッション活動ログを監視・保存・アクセスしたいと考えています。ログは暗号化される必要があります。 これらの要件を満たすソリューションはどれですか?

正解: D. AWS Systems Manager Session Managerを使用してEC2インスタンスに接続します。Amazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。

解説

AWS Systems Manager Session Managerは、IMDSv2プロトコルを介して安全にEC2インスタンスに接続でき、入力ポートの開放やSSHキーの管理を必要としないため、セキュアなアクセス要件を満たします。このサービスは、ユーザーのセッション活動ログをAmazon CloudWatch Logsにアップロードする機能を提供し、暗号化されたロググループのみを使用するよう設定可能です。これにより、ログの監視・保存・暗号化というすべての要件が満たされます。オプションDはSession Managerを選択し、暗号化されたCloudWatchログのアップロードを明示的に設定しており、すべてのコンプライアンスおよび技術要件を完全に満たします。