Q18 — AWS SCS-C02 第1章
第 18/100 問 | ← 第1章
ある企業は、機密顧客データを保存するAmazon EC2インスタンス上でアプリケーションを実行しています。同社は顧客データへのアクセスを制限する必要があります。セキュリティエンジニアは、アプリケーションをホストするEC2インスタンスへの安全なアクセスを要求します。会社の方針によると、ユーザーは入力ポートを開けず、バスティオンホストを維持せず、EC2インスタンスのSSHキーを管理してはなりません。セキュリティエンジニアは、すべてのセッション活動ログを監視・保存・アクセスしたいと考えています。ログは暗号化される必要があります。 これらの要件を満たすソリューションはどれですか?
- A. AWS Control Towerを使用してEC2インスタンスに接続します。セッション用にAmazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。
- B. AWS Security Hubを使用してEC2インスタンスに接続します。セッション用にAmazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。
- C. AWS Systems Manager Session Managerを使用してEC2インスタンスに接続します。セッション記録用にAmazon CloudWatchモニタリングを設定し、目的のCloudWatch Logsロググループに対して「セッションログの保存」オプションを選択します。
- D. AWS Systems Manager Session Managerを使用してEC2インスタンスに接続します。Amazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。 ✓
正解: D. AWS Systems Manager Session Managerを使用してEC2インスタンスに接続します。Amazon CloudWatchログを設定し、「セッションログのアップロード」オプションを選択し、暗号化されたCloudWatch Logsロググループのみを許可します。
解説
AWS Systems Manager Session Managerは、IMDSv2プロトコルを介して安全にEC2インスタンスに接続でき、入力ポートの開放やSSHキーの管理を必要としないため、セキュアなアクセス要件を満たします。このサービスは、ユーザーのセッション活動ログをAmazon CloudWatch Logsにアップロードする機能を提供し、暗号化されたロググループのみを使用するよう設定可能です。これにより、ログの監視・保存・暗号化というすべての要件が満たされます。オプションDはSession Managerを選択し、暗号化されたCloudWatchログのアップロードを明示的に設定しており、すべてのコンプライアンスおよび技術要件を完全に満たします。