Q55 — AWS SCS-C02 第1章

第 55/100 問 | ← 第1章

ある企業は、Amazon Elastic Container Service(Amazon ECS)上で内部マイクロサービスをAmazon EC2起動タイプで実行しています。また、Amazon Elastic Container Registry(Amazon ECR)のプライベートリポジトリを使用しています。 セキュリティエンジニアは、AWS Key Management Service(AWS KMS)を用いてこれらのプライベートリポジトリを暗号化する必要があります。さらに、コンテナイメージ内の一般的な脆弱性および露出(CVE)を分析する必要があります。 これらの要件を満たす解決策はどれですか?

正解: B. KMS暗号化およびECRスキャン機能を有効化した状態でECRリポジトリを再作成します。次回のイメージプッシュ後にスキャンレポートを分析します。

解説

本問の核心は、ECRプライベートリポジトリのKMS暗号化および脆弱性スキャン機能の実現です。AWSの規定によると、既存のECRリポジトリではKMS暗号化を直接有効化することはできず、リポジトリ作成時に暗号化オプションを選択する必要があります。同様に、ECRの組み込みイメージスキャン機能もリポジトリ作成時に有効化する必要があり、新しいイメージをプッシュすると自動的にCVEレポートが生成されます。選択肢Bは、リポジトリを再作成して暗号化およびスキャンを同時設定し、次のイメージプッシュ後にスキャンレポートを分析するという、操作規約に合致する手法です。他の選択肢は、エージェントのインストール、既存リポジトリへの暗号化適用、または専用スキャン機能ではないツールの使用など、両方の要件を同時に満たすことができません。