Q85 — AWS SCS-C02 第1章

第 85/100 問 | ← 第1章

ある企業は、インターネットゲートウェイが接続されていないVPCの単一のプライベートサブネット内に、一連のAmazon EC2インスタンスを保有しています。セキュリティエンジニアは、そのサブネット内のすべてのインスタンスにAmazon CloudWatchエージェントをインストールし、特定のアプリケーションからログを収集しています。ログが安全に送信されるよう、ネットワークチームはCloudWatchモニタリングおよびCloudWatch Logs用のVPCエンドポイントを作成し、VPCにアタッチしました。 アプリケーションはログを生成していますが、セキュリティエンジニアがCloudWatchをクエリしてもログが表示されません。 この問題をトラブルシューティングするために、セキュリティエンジニアが取るべき手順の組み合わせはどれですか?(3つ選択)

正解: A. EC2インスタンスにアタッチされたEC2インスタンスプロファイルが、ログストリームの作成およびログの書き込み権限を持っていることを確認します。, C. 各EC2インスタンス上のCloudWatchエージェント構成ファイルを確認し、エージェントが適切なログファイルを収集していることを確認します。, D. 両方のVPCエンドポイントのVPCエンドポイントポリシーを確認し、EC2インスタンスがそれらを使用する権限を持っていることを確認します。

解説

この問題は、VPC環境におけるCloudWatchログ転送の障害のトラブルシューティングに関するものです。AWS公式ドキュメントによると、VPCエンドポイントを使用するには、正しいIAM権限、正しいエージェント構成、およびVPCエンドポイントポリシーによる許可の3条件を満たす必要があります。選択肢AはIAMロール権限不足のケースに対応しており、logs:CreateLogStreamおよびlogs:PutLogEvents権限が付与されていない場合、データは書き込まれません。選択肢Cは構成ミスに対応しており、例えばログパスの誤りや構成ファイル内のリージョン設定の不備によりエージェントがログを取得できない場合があります。選択肢DはVPCエンドポイントポリシーの制限に対応しており、ポリシーがPrincipal "*"を含まないか、logs:CreateLogGroupなどの操作を許可していない場合、トラフィックはブロックされます。選択肢Eは誤りであり、VPCエンドポイントが既にプライベートネットワーク接続を提供しているためNATゲートウェイは不要です。選択肢BはCloudWatchにログが到達していない段階では無効であり、選択肢Fはログ転送パスとは関係ありません。