Q22 — AWS SCS-C02 第1章

第 22/100 問 | ← 第1章

ある企業は、Kubernetesベースのアプリケーションを実行するためにAmazon Elastic Kubernetes Service(Amazon EKS)クラスターを使用しています。同社はAmazon GuardDutyを使用してアプリケーションを保護しています。GuardDutyでEKS Protectionが有効化されています。しかし、対応するGuardDuty機能はKubernetesベースのアプリケーションを監視していません。 GuardDutyがKubernetesベースのアプリケーションを監視するようにするソリューションはどれですか?

正解: D. Amazon EKSでコントロールプレーンログを有効化します。ログがAmazon CloudWatchに取り込まれていることを確認します。

解説

Amazon GuardDutyのEKS保護機能は、Kubernetesレベルの脅威を検出するためにEKSコントロールプレーンログに依存しています。EKS保護機能を有効化しても関連ログデータが提供されなければ、GuardDutyはKubernetesアプリケーションを監視できません。Amazon EKSでコントロールプレーンログ(APIサーバー、コントローラーマネージャー、スケジューラー、etcdなどのコンポーネントを含む)を有効化し、これらのログをAmazon CloudWatchに取り込むことで、GuardDutyは必要なログ情報を取得し、Kubernetesアプリケーションのセキュリティ監視を実現できます。