Q39 — AWS SCS-C02 第1章
第 39/100 問 | ← 第1章
ある企業は、ハイブリッドDNSインフラストラクチャでAmazon Route 53 Resolverを使用しています。この企業は、オンプレミスのDNSサーバーでホストされている権威あるドメイン向けにRoute 53 Resolverの転送ルールを設定しています。 新しいセキュリティ要件により、オンプレミスのDNSサーバーへのDNSトラフィックをログ記録およびクエリするソリューションを実装する必要があります。ログには、クエリを発行したインスタンスのソースIPアドレスの詳細が含まれなければなりません。また、Route 53 Resolverで要求されたDNS名もログに記録する必要があります。 これらの要件を満たすソリューションはどれですか?
- A. VPCトラフィックミラーリングを使用します。関連するすべてのElastic Network Interfaceをトラフィックソースとして設定し、ミラーフィルターにamazon-dnsを含め、Amazon CloudWatch Logsをミラーターゲットとして設定します。
- B. 関連するすべてのVPCでVPCフローログを設定します。ログをAmazon S3バケットに送信し、Amazon Athenaを使用してソースIPアドレスおよびDNS名に関するSQLクエリを実行します。
- C. 関連するすべてのVPCでRoute 53 Resolverクエリログを設定します。ログをAmazon CloudWatch Logsに送信し、CloudWatch Insightsを使用してソースIPアドレスおよびDNS名に関するクエリを実行します。 ✓
- D. オンプレミスのDNSサーバーに転送する権威あるドメインのRoute 53 Resolverルールを変更します。ログをAmazon S3バケットに送信し、Amazon Athenaを使用してソースIPアドレスおよびDNS名に関するSQLクエリを実行します。
正解: C. 関連するすべてのVPCでRoute 53 Resolverクエリログを設定します。ログをAmazon CloudWatch Logsに送信し、CloudWatch Insightsを使用してソースIPアドレスおよびDNS名に関するクエリを実行します。
解説
本問は、Amazon Route 53 Resolverのログ記録機能に関連しています。AWS公式ドキュメントによると、Route 53 Resolverクエリログは、DNSクエリの詳細(ソースIPアドレスおよび要求されたドメイン名)をキャプチャできます。選択肢Cは、Resolverクエリログを有効化し、CloudWatch Logsに送信した後、CloudWatch Insightsで該当フィールドをクエリするという、要件に完全に合致する手法です。選択肢AのTraffic Mirroringは、ネットワークトラフィックの複製に使用され、専用のDNSログ記録には不適切です。選択肢BのVPCフローログは、IPレベルのトラフィックメタデータのみを記録し、DNSクエリの内容を含みません。選択肢DはResolverログの設定を明示的に述べておらず、またクエリツールとの整合性も不明確です。正解は、Resolverクエリログ機能の使用シナリオと一致します。