Q8 — AWS SCS-C02 第1章

第 8/100 問 | ← 第1章

Amazon EC2 Auto Scalingグループは、Amazon Linux EC2インスタンスを起動し、Amazon CloudWatchエージェントをインストールしてログをAmazon CloudWatch Logsに送信します。EC2インスタンスは、IAMポリシーがアタッチされたIAMロールとともに起動します。このポリシーは、CloudWatchへのカスタムメトリクスの送信アクセスを提供します。EC2インスタンスは、VPC内のプライベートサブネットで実行されます。VPCは、NATゲートウェイを介してプライベートサブネットにインターネットアクセスを提供します。 セキュリティエンジニアは、Auto Scalingグループによって起動されたEC2インスタンスのログがCloudWatch Logsに送信されていないことに気づきました。セキュリティエンジニアは、CloudWatch LogsエージェントがEC2インスタンス上で正常に実行・構成されていることを確認しました。さらに、AWSサービスへのネットワーク通信が正常に機能していることも確認しました。 セキュリティエンジニアは、ログがCloudWatch Logsに送信されるようにするために何を行うことができますか?

正解: A. 使用中のIAMロールのIAMポリシーを構成し、ログを送信するための必要なcloudwatch: APIアクションへのアクセスを許可します。 

解説

本問はIAM権限の設定に関する問題です。AWSドキュメントによると、CloudWatch Logsへのログ送信には、logs:CreateLogGroup、logs:PutLogEventsなどの特定のAPI権限が必要です。問題文では既存のポリシーがcloudwatch:アクション(カスタムメトリクス)へのアクセスを許可していますが、logs:権限は含まれていません。選択肢Cの「AWS logs: APIアクション」という表現は用語上やや不正確ですが(正しくは単に「logs:」)、意図する権限はCloudWatch LogsのAPIであり、実際には選択肢Aが正解です。なぜなら、CloudWatch LogsのAPIは`logs:`プレフィックスを使用し、`cloudwatch:`はCloudWatchメトリクス専用であるため、選択肢Aが権限を正しく指定する唯一の選択肢です。選択肢BのサービスリンクロールはAuto Scaling自体の操作に使用され、ログ送信には関係ありません。選択肢DのVPCエンドポイントは、NATゲートウェイ経由で既に通信が可能なため不要です。正解はAです。