Q70 — AWS SCS-C02 第1章
第 70/100 問 | ← 第1章
ある企業は、Amazon EC2ベースのアプリケーションをInstance Metadata Service Version 2(IMDSv2)の使用に移行しています。セキュリティエンジニアは、どのEC2インスタンスもまだInstance Metadata Service Version 1(IMDSv1)を使用していないかを確認する必要があります。 セキュリティエンジニアは、IMDSv1エンドポイントがもう使用されていないことを確認するために何を行うべきですか?
- A. EC2インスタンスの起動時に、Amazon CloudWatchエージェントによるIMDSv1のロギングを設定します。メトリクスフィルターおよびCloudWatchダッシュボードを作成し、ダッシュボードでメトリクスを追跡します。
- B. Amazon CloudWatchダッシュボードを作成します。すべてのEC2インスタンスにおいて、EC2:MetadataNoTokenメトリクスがゼロであることを確認します。ダッシュボードを監視します。 ✓
- C. IMDSv1エンドポイントへのHTTPアクセスをブロックするセキュリティグループを作成し、すべてのEC2インスタンスにアタッチします。
- D. すべてのEC2インスタンスのユーザーデータスクリプトを設定して、IMDSv1が使用された際にログ情報をAWS CloudTrailに送信するようにします。メトリクスフィルターおよびAmazon CloudWatchダッシュボードを作成し、ダッシュボードでメトリクスを追跡します。
正解: B. Amazon CloudWatchダッシュボードを作成します。すべてのEC2インスタンスにおいて、EC2:MetadataNoTokenメトリクスがゼロであることを確認します。ダッシュボードを監視します。
解説
IMDSv2はトークンを必要としますが、IMDSv1はトークンを必要としません。AWSは、インスタンスが発行したIMDSv1リクエスト数をカウントするCloudWatchメトリクス`EC2:MetadataNoToken`を提供しています。このメトリクスがゼロであることを確認することで、完全な移行が確認できます。選択肢Bは、CloudWatchを用いてこのネイティブメトリクスを直接監視する方法であり、追加設定を必要としません。選択肢AおよびDはカスタムログおよびスクリプトを必要とし、ネイティブメトリクスよりも間接的です。選択肢Cは誤りで、セキュリティグループはローカルインスタンスのメタデータサービスへのアクセスを制御できません。出典:AWSドキュメントのIMDS移行に関するベストプラクティス。