Q66 — AWS SCS-C02 第1章

第 66/100 問 | ← 第1章

ある企業は、AWS Configルールを使用して、同社のデータ保護ポリシーに準拠していないAmazon S3バケットを特定しています。これらのS3バケットは複数のAWSリージョンおよび複数のAWSアカウントでホストされています。これらのアカウントは、AWS Organizations内の組織に属しています。同社は、既存の非準拠S3バケットおよび今後作成されるすべての非準拠S3バケットを自動修復するソリューションを必要としています。 これらの要件を満たすソリューションはどれですか?

正解: A. 組織全体のリソースデータ集約機能を有効化したAWS Configアグリゲーターをデプロイします。AWS Configによる非準拠S3バケットの検出結果に応じて、S3バケットを削除または再構成するAWS Lambda関数を作成します。

解説

AWS Configはリソース構成のコンプライアンス監視に使用されます。本問では、複数リージョン・複数アカウントにわたる集中監視および既存および将来の非準拠S3バケットに対する即時修復が求められています。AWSのベストプラクティスによると、組織全体(organization-wide)のConfigアグリゲーターは、すべてのメンバー アカウントおよびリージョンのデータを収集し、集約後にLambdaによる自動修復(削除または再構成)を一元的にトリガーできます。SCPは新規リソースの作成制限には有効ですが、既存リソースの修復は不可能であり、設定も複雑です。選択肢Aは、Configのコンプライアンス評価結果にリアルタイムでLambdaが応答し、既存および将来のリソースを網羅的にカバーします。他の選択肢は、アグリゲーション範囲が不十分(C、D)またはSCPに依存して既存リソースを無視(B、D)しています。正解はAです。