Q60 — AWS SOA-C02 第1章

第 60/100 問 | ← 第1章

SysOps管理者は、暗号化されたAmazon Machine Image(AMI)をデプロイするために使用されるAWS CloudFormationテンプレートを持っています。このCloudFormationテンプレートは第2のアカウントでも使用されるため、SysOps管理者は暗号化されたAMIを第2のアカウントにコピーしました。第2のアカウントで新しいCloudFormationスタックを起動したところ、失敗しました。 この問題を修正するためにSysOps管理者が取るべきアクションはどれですか?

正解: D. CloudFormationテンプレートを、宛先アカウント内のAMIのIDで更新します。

解説

AWS CloudFormationが第2のアカウントに暗号化AMIをデプロイする場合、テンプレート内のAMI IDが宛先アカウント内でコピーされたAMIと一致している必要があります。Amazon Machine Imageのクロスアカウント共有にはアクセス許可設定および暗号化キーの構成が関与しますが、AMIのコピーが成功した後、宛先アカウントにおけるCloudFormationテンプレートは、当該アカウント内で有効なAMI IDを明示的に指定しなければリソースを正しく参照できません。選択肢Dは、テンプレート内のAMI IDを更新する必要性を指摘しており、これはAWSのクロスアカウントAMI使用に関するガイドラインに合致します:コピーされたAMIは宛先アカウント内で一意の識別子を持ち、デプロイ時には明示的に指定する必要があります。選択肢AはAMIを公開することでセキュリティリスクを招きます;選択肢BはソースアカウントのAMI登録解除は宛先アカウントのリソースに影響しません;選択肢Cは再暗号化を含意しますが、これは宛先アカウントで適切なKMSキーポリシーが設定済みであることが前提であり、問題文にはキープロブレムの記述はありません。