Q22 — AWS SCS-C02 第1章
第 22/100 問 | ← 第1章
ある企業は、Kubernetesベースのアプリケーションを実行するためにAmazon Elastic Kubernetes Service(Amazon EKS)クラスターを使用しています。同社はAmazon GuardDutyを使用してアプリケーションを保護しています。GuardDutyでEKS Protectionが有効化されています。しかし、対応するGuardDuty機能はKubernetesベースのアプリケーションを監視していません。 GuardDutyがKubernetesベースのアプリケーションを監視するようにするソリューションはどれですか?
- A. EKSクラスターをホストするVPCに対してVPCフローログを有効化します。
- B. EKSクラスターにCloudWatchEventsFullAccess AWSマネージドポリシーを割り当てます。
- C. GuardDutyサービスロールにAmazonGuardDutyFullAccess AWSマネージドポリシーがアタッチされていることを確認します。
- D. Amazon EKSでコントロールプレーンログを有効化します。ログがAmazon CloudWatchに取り込まれていることを確認します。 ✓
正解: D. Amazon EKSでコントロールプレーンログを有効化します。ログがAmazon CloudWatchに取り込まれていることを確認します。
解説
Amazon GuardDutyのEKS保護機能は、Kubernetesレベルの脅威を検出するためにEKSコントロールプレーンログに依存しています。EKS保護機能を有効化しても関連ログデータが提供されなければ、GuardDutyはKubernetesアプリケーションを監視できません。Amazon EKSでコントロールプレーンログ(APIサーバー、コントローラーマネージャー、スケジューラー、etcdなどのコンポーネントを含む)を有効化し、これらのログをAmazon CloudWatchに取り込むことで、GuardDutyは必要なログ情報を取得し、Kubernetesアプリケーションのセキュリティ監視を実現できます。