Q74 — AWS SOA-C02 第1章
第 74/100 問 | ← 第1章
ある企業が、一連のAmazon EC2インスタンス上で重要なアプリケーションをAWSにデプロイしています。このアプリケーションはセキュリティレビューに不合格となったため、企業はアプリケーションの再構築を進めています。再構築には12か月かかります。この間、企業はアプリケーションが使用するIAMアクセスキーをローテーションする必要があります。SysOps管理者は、30日以上経過したIAMアクセスキーを自動的に検出し、ローテーションするソリューションを実装しなければなりません。その後、このソリューションは30日ごとにIAMアクセスキーを継続的にローテーションする必要があります。 この要件を最も運用効率よく満たすソリューションはどれですか?
- A. AWS Configルールを使用して、30日以上経過したIAMアクセスキーを特定します。AWS ConfigがAWS Systems Manager Automationランブックを呼び出して、特定されたIAMアクセスキーをローテーションするように設定します。 ✓
- B. AWS Trusted Advisorを使用して、30日以上経過したIAMアクセスキーを特定します。Trusted AdvisorがAWS Systems Manager Automationランブックを呼び出して、特定されたIAMアクセスキーをローテーションするように設定します。
- C. IAMアクセスキーの年齢をチェックし、30日以上経過している場合はローテーションするスクリプトを作成します。EC2インスタンスを起動し、そのEC2インスタンス上で毎日cron式でスクリプトを実行するようスケジュールします。
- D. IAMアクセスキーの年齢をチェックし、30日以上経過している場合はローテーションするAWS Lambda関数を作成します。Amazon EventBridgeルールを使用して、新しいIAMアクセスキーが作成されるたびにLambda関数を呼び出します。
正解: A. AWS Configルールを使用して、30日以上経過したIAMアクセスキーを特定します。AWS ConfigがAWS Systems Manager Automationランブックを呼び出して、特定されたIAMアクセスキーをローテーションするように設定します。
解説
このソリューションは、AWS Configルールを活用してIAMアクセスキーを継続的に監視し、30日以上経過したキーを正確に特定し、AWS Systems Manager Automationランブックを自動的にトリガーしてキーのローテーションを実行します。AWS Configはネイティブなリソース監視機能を提供し、Systems Manager Automationは標準化された安全な操作を保証し、監査追跡をサポートします。このソリューションは追加のインフラストラクチャを維持する必要がなく、完全にマネージドサービスに基づいて自動化を実現し、定期的なローテーション要件を最小限の運用コストで満たします。また、継続的な監視と実行能力も保証されます。