Q66 — AWS SCS-C02 第1章
第 66/100 問 | ← 第1章
ある企業は、AWS Configルールを使用して、同社のデータ保護ポリシーに準拠していないAmazon S3バケットを特定しています。これらのS3バケットは複数のAWSリージョンおよび複数のAWSアカウントでホストされています。これらのアカウントは、AWS Organizations内の組織に属しています。同社は、既存の非準拠S3バケットおよび今後作成されるすべての非準拠S3バケットを自動修復するソリューションを必要としています。 これらの要件を満たすソリューションはどれですか?
- A. 組織全体のリソースデータ集約機能を有効化したAWS Configアグリゲーターをデプロイします。AWS Configによる非準拠S3バケットの検出結果に応じて、S3バケットを削除または再構成するAWS Lambda関数を作成します。 ✓
- B. 組織全体のリソースデータ集約機能を有効化したAWS Configアグリゲーターをデプロイします。新しい非準拠S3バケットの作成を防止するDenyステートメントを含むSCP(Service Control Policy)を作成し、組織内のすべてのOU(Organizational Unit)に適用します。
- C. 現在使用中のアカウントおよびリージョンのみを対象としたAWS Configアグリゲーターをデプロイします。AWS Configによる非準拠S3バケットの検出結果に応じて、S3バケットを削除または再構成するAWS Lambda関数を作成します。
- D. 現在使用中のアカウントおよびリージョンのみを対象としたAWS Configアグリゲーターをデプロイします。新しい非準拠S3バケットの作成を防止するDenyステートメントを含むSCP(Service Control Policy)を作成し、組織内のすべてのOU(Organizational Unit)に適用します。
正解: A. 組織全体のリソースデータ集約機能を有効化したAWS Configアグリゲーターをデプロイします。AWS Configによる非準拠S3バケットの検出結果に応じて、S3バケットを削除または再構成するAWS Lambda関数を作成します。
解説
AWS Configはリソース構成のコンプライアンス監視に使用されます。本問では、複数リージョン・複数アカウントにわたる集中監視および既存および将来の非準拠S3バケットに対する即時修復が求められています。AWSのベストプラクティスによると、組織全体(organization-wide)のConfigアグリゲーターは、すべてのメンバー アカウントおよびリージョンのデータを収集し、集約後にLambdaによる自動修復(削除または再構成)を一元的にトリガーできます。SCPは新規リソースの作成制限には有効ですが、既存リソースの修復は不可能であり、設定も複雑です。選択肢Aは、Configのコンプライアンス評価結果にリアルタイムでLambdaが応答し、既存および将来のリソースを網羅的にカバーします。他の選択肢は、アグリゲーション範囲が不十分(C、D)またはSCPに依存して既存リソースを無視(B、D)しています。正解はAです。