Q71 — AWS SOA-C02 第1章
第 71/100 問 | ← 第1章
ある会社は、Amazon Linux 2 AMIに基づく数千台のAmazon EC2インスタンスを実行しています。SysOps管理者は、EC2インスタンス上でインタラクティブセッションを必要とするユーザーのコマンドおよび出力を記録するソリューションを実装する必要があります。このソリューションは、データを耐久性のあるストレージ場所にログ記録する必要があります。また、ログデータに基づいた自動通知およびアラームを提供する必要があります。 これらの要件を最も運用効率よく満たすソリューションはどれですか?
- A. 各EC2インスタンスでコマンドセッションログ記録を構成します。統合Amazon CloudWatchエージェントを構成して、セッションログをAmazon CloudWatch Logsに送信します。Amazon Athenaを使用してクエリフィルターおよびアラートを設定します。
- B. ユーザーがEC2インスタンスへのコマンドラインアクセスを必要とする場合、すべて中央のバスタイオンホストを使用することを義務付けます。バスタイオンホストで統合Amazon CloudWatchエージェントを構成して、セッションログをAmazon CloudWatch Logsに送信します。CloudWatch Logs内の関連するセキュリティ検出事項についてメトリクスフィルターおよびメトリクスアラームを設定します。
- C. ユーザーがEC2インスタンスへのコマンドラインアクセスを必要とする場合、すべてAWS Systems Manager Session Managerを使用することを義務付けます。Session Managerを構成して、セッションログをAmazon CloudWatch Logsにストリーミングします。CloudWatch Logs内の関連するセキュリティ検出事項についてメトリクスフィルターおよびメトリクスアラームを設定します。 ✓
- D. 各EC2インスタンスでコマンドセッションログ記録を構成します。ユーザーがEC2インスタンスへのコマンドラインアクセスを必要とする場合、すべてAWS Systems Manager Run Commandドキュメントを使用することを義務付けます。統合Amazon CloudWatchエージェントを構成して、セッションログをAmazon CloudWatch Logsに送信します。Amazon Athenaクエリ結果に基づくCloudWatchアラームを設定します。
正解: C. ユーザーがEC2インスタンスへのコマンドラインアクセスを必要とする場合、すべてAWS Systems Manager Session Managerを使用することを義務付けます。Session Managerを構成して、セッションログをAmazon CloudWatch Logsにストリーミングします。CloudWatch Logs内の関連するセキュリティ検出事項についてメトリクスフィルターおよびメトリクスアラームを設定します。
解説
AWS Systems Manager Session Managerは、SSHキーまたはバスタイオンホストを必要としない安全なインスタンスアクセスを提供し、セッションログをAmazon CloudWatch Logsに自動的にアップロードできます。CloudWatchのメトリクスフィルターおよびアラーム機能と組み合わせることで、ログデータのリアルタイム監視・分析、永続的なログ保存、および自動通知が可能になります。選択肢Cはネイティブな統合を活用し、大規模なEC2インスタンス環境において手動設定や保守負荷を最小限に抑え、運用効率が最も高くなります。[参考:AWS Systems Manager Session Managerドキュメント];他の選択肢は追加のエージェント(A、D)や集中型バスタイオンホスト(B)を必要とし、管理の複雑性が増します。