Q75 — AWS SCS-C02 第1章
第 75/100 問 | ← 第1章
ある会社には、Amazon EC2セキュリティグループがCIDRブロック0.0.0.0/0からのSSHアクセスを許可してはならないという要件があります。この要件に対するコンプライアンスを常時監視し、セキュリティグループが非コンプライアンスとなった場合にほぼリアルタイムで通知を受け取ることを望んでいます。セキュリティエンジニアはAWS Configを設定し、restricted-sshマネージドルールを使用してセキュリティグループを監視します。 これらの要件を満たすために、セキュリティエンジニアが次に行うべきことは何ですか?
- A. AWS Configがその設定スナップショットをAmazon S3バケットに送信するように設定する。S3バケットへのPutEventイベントをトリガーとして実行されるAWS Lambda関数を作成する。Lambda関数がスナップショットを解析し、restricted-sshマネージドルールに関するコンプライアンス変更を検出するように設定する。変更が検出された場合、Lambda関数がAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信するように設定する。
- B. AWS Configからrestricted-sshマネージドルールに関するコンプライアンス変更イベントを受信するAmazon EventBridgeイベントルールを設定する。イベントルールがAmazon Simple Notification Service(Amazon SNS)トピックをターゲットとして通知を提供するように設定する。 ✓
- C. AWS Configがすべてのコンプライアンス通知をAmazon CloudWatch Logsにプッシュするように設定する。AWS Configロググループに対してCloudWatch Logsメトリクスフィルターを設定し、restricted-sshマネージドルールに関するコンプライアンス通知の変更を検索する。メトリクスフィルターに基づくAmazon CloudWatchアラームを作成し、アラームがALARM状態になった場合にAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信するように設定する。
- D. restricted-sshマネージドルールのCloudWatchメトリクスに対するAmazon CloudWatchアラームを設定する。アラームがALARM状態になった場合にAmazon Simple Notification Service(Amazon SNS)トピックに通知を送信するように設定する。
正解: B. AWS Configからrestricted-sshマネージドルールに関するコンプライアンス変更イベントを受信するAmazon EventBridgeイベントルールを設定する。イベントルールがAmazon Simple Notification Service(Amazon SNS)トピックをターゲットとして通知を提供するように設定する。
解説
AWS ConfigとAmazon EventBridgeの統合は、コンプライアンスイベントをリアルタイムで応答するのに最適です。AWS Configがリソースがrestricted-sshルールに準拠していないことを検出すると、コンプライアンス変更イベントが生成されます。EventBridgeはこれらのイベントをルールでマッチさせ、Amazon SNSトピックへ直接ルーティングして通知を送信します。選択肢Bはネイティブのイベント駆動型アーキテクチャを活用しており、中間処理ステップ(例:S3への保存、Lambdaによるバッチ処理)を必要としないため、ほぼリアルタイム性を保証します。他の選択肢(S3経由のLambda、CloudWatch Logs経由の分析など)は遅延や複雑性を導入します。AWS公式ドキュメントでは、Configのコンプライアンス変更イベントを処理する際の推奨手法としてEventBridgeが明記されています。