Q6 — AWS SCS-C02 第1章

第 6/100 問 | ← 第1章

ある会社はAWS Organizationsを使用しており、多数のAWSアカウントにAmazon Elastic Kubernetes Service (Amazon EKS) クラスターを展開しています。セキュリティエンジニアは、Amazon EKSをAWS CloudTrailと統合しました。CloudTrailのトレールは、各アカウントのAmazon S3バケットに保存され、API呼び出しの監視に使用されています。セキュリティエンジニアは、CloudTrailログにKubernetesのPod作成イベントが表示されていないことに気づきました。 セキュリティエンジニアは、Amazon CloudWatchからKubernetesイベントを表示するために何を行うべきですか?

正解: B. 各クラスターについてKubernetes APIサーバーコンポーネントログを有効化します。 

解説

問題文では、CloudTrailはAPI呼び出しを監視していますが、KubernetesのPod作成イベントはCloudTrailではなく、Kubernetes APIサーバーのコンポーネントログに記録されます。したがって、これらのイベントを取得するには、各EKSクラスターのKubernetes APIサーバーコンポーネントログを有効化する必要があります。選択肢AのプライベートS3 VPCエンドポイントおよびS3バケット設定は、ネットワーク接続やログ保存の最適化には役立ちますが、Kubernetesイベントの収集には直接関係しません。選択肢CのCORS設定は、WebアプリケーションからのS3アクセスに関係するものであり、本件とは無関係です。選択肢DはCloudWatchの利用を示唆していますが、Kubernetesイベントがそもそもログとして出力されていない状態では、CloudWatchコンソールで表示することはできません。したがって、正しい対応は選択肢Bです。