Q48 — AWS SCS-C02 第1章

第 48/100 問 | ← 第1章

国際企業が韓国に新たな事業体を設立しました。また、韓国地域向けのワークロードを収容するための新しいAWSアカウントも設立しました。同社は、この新しいアカウント内でap-northeast-2リージョンにワークロードをセットアップしました。このリージョンで稼働するすべてのワークロードは、システムログおよびアプリケーションログを7年間保持する必要があります。 セキュリティエンジニアは、スケーリング活動中に各インスタンスのログデータが失われないよう、かつログを必要な期間(7年間)のみ保持するソリューションを実装する必要があります。 これらの要件を満たすために、セキュリティエンジニアが実施すべき手順の組み合わせはどれですか?(3つ選択してください)

正解: A. Auto Scalingグループが起動するすべてのEC2インスタンスにAmazon CloudWatchエージェントがインストールされていることを確認します。必要なログをAmazon CloudWatch Logsに転送するCloudWatchエージェント構成ファイルを作成します。, B. 対象のロググループのログ保持期間を7年に設定します。, C. Auto Scalingグループが使用する起動設定または起動テンプレートにIAMロールをアタッチします。このロールが、Amazon CloudWatch Logsへのログ転送に必要な権限を提供するように構成します。

解説

本問は、AWSログ管理およびAuto Scalingグループとの統合に関するものです。AWSドキュメントによると、CloudWatchエージェント(A)を使用することで、インスタンス終了時にログデータが失われるのを防ぎ、CloudWatch Logsへログを送信できます。CloudWatch Logsは最大保持期間を設定可能であり(B)、7年間に設定する必要があります。Auto Scalingグループで起動されるEC2インスタンスは、CloudWatch Logsへのログ送信権限をIAMロール(C)を通じて取得する必要があります。選択肢DおよびEはS3へのログ送信を想定していますが、問題文ではCloudWatch Logsが指定されており、このアプローチは採用されません。選択肢FのS3ライフサイクルポリシーは技術的には正しいものの、問題文で指定されたCloudWatch Logsベースのソリューションのパスには合致しません。『Amazon CloudWatchユーザーガイド』のログ収集および保持ポリシーに関する章を参照してください。