Q90 — AWS SCS-C02 第1章

第 90/100 問 | ← 第1章

ある企業は、顧客のニーズを満たすための新たなコンプライアンス要件を実装しています。新たな要件によると、企業は暗号化されていない基盤ストレージを持つAmazon RDS DBインスタンスまたはDBクラスターを一切使用してはなりません。企業は、暗号化されていないDBインスタンスまたはDBクラスターが作成された際に電子メールアラートを生成するソリューションを必要としています。また、このソリューションは暗号化されていないDBインスタンスまたはDBクラスターを終了させる必要があります。 これらの要件を最も運用効率よく満たすソリューションはどれですか?

正解: A. 暗号化されていないRDSストレージを検出するためのAWS Configマネージドルールを作成します。自動修復アクションを構成し、AWS Lambda関数と電子メール配信ターゲットをサブスクライバーとするAmazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開します。Lambda関数を構成して、暗号化されていないリソースを削除します。

解説

AWS Configは、AWSリソースの設定がポリシーに準拠しているかを継続的に評価するマネージドルールを提供します。暗号化されていないRDSストレージを検出した場合、自動修復アクションによりSNSトピック経由でアラートを送信し、Lambda関数でリソースを削除できます。EventBridgeはイベント駆動型のトリガーに適しており、継続的なコンプライアンス監視には不向きです。AWS Configの自動修復機能(手動ではなく)によりリアルタイム対応が可能となり、完全な自動化要件を満たします。選択肢C/Dはイベントパターンに依存するため、設定変更後の暗号化状態検出を逃す可能性があり、選択肢Bの手動介入は効率的な運用を実現できません。AWS公式ドキュメントでは、AWS Configの自動修復機能がリアルタイムコンプライアンスガバナンスに適していると明記されています。