Q39 — AWS SCS-C02 第1章

第 39/100 問 | ← 第1章

ある企業は、ハイブリッドDNSインフラストラクチャでAmazon Route 53 Resolverを使用しています。この企業は、オンプレミスのDNSサーバーでホストされている権威あるドメイン向けにRoute 53 Resolverの転送ルールを設定しています。 新しいセキュリティ要件により、オンプレミスのDNSサーバーへのDNSトラフィックをログ記録およびクエリするソリューションを実装する必要があります。ログには、クエリを発行したインスタンスのソースIPアドレスの詳細が含まれなければなりません。また、Route 53 Resolverで要求されたDNS名もログに記録する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. 関連するすべてのVPCでRoute 53 Resolverクエリログを設定します。ログをAmazon CloudWatch Logsに送信し、CloudWatch Insightsを使用してソースIPアドレスおよびDNS名に関するクエリを実行します。

解説

本問は、Amazon Route 53 Resolverのログ記録機能に関連しています。AWS公式ドキュメントによると、Route 53 Resolverクエリログは、DNSクエリの詳細(ソースIPアドレスおよび要求されたドメイン名)をキャプチャできます。選択肢Cは、Resolverクエリログを有効化し、CloudWatch Logsに送信した後、CloudWatch Insightsで該当フィールドをクエリするという、要件に完全に合致する手法です。選択肢AのTraffic Mirroringは、ネットワークトラフィックの複製に使用され、専用のDNSログ記録には不適切です。選択肢BのVPCフローログは、IPレベルのトラフィックメタデータのみを記録し、DNSクエリの内容を含みません。選択肢DはResolverログの設定を明示的に述べておらず、またクエリツールとの整合性も不明確です。正解は、Resolverクエリログ機能の使用シナリオと一致します。