type
status
date
slug
summary
tags
category
icon
password
理論
企業がAWS環境を使用してインフラを構築しており、複数のエンジニアが同一のAWSアカウントで作業しています。問題は、エンジニアがEC2インスタンスのセキュリティグループ設定を誤って変更することによってコンプライアンス違反が発生することです。このような問題を防ぐため、システムをセットアップして、変更の追跡とアラート機能を提供する必要があります。
以下の手順で解決できます:
- AWS CloudTrail:
- CloudTrailは、AWSアカウント内でのAPI呼び出しを追跡するサービスです。これにより、誰がどのリソースにどのような操作を行ったかを詳細に記録できます。エンジニアがセキュリティグループ設定を変更した場合、その変更内容がCloudTrailのログに記録されます。
- AWS Config:
- AWS Configは、AWSリソースの設定を監視し、設定の変更履歴を保存するサービスです。特に、セキュリティグループの設定変更を追跡し、過去の設定状態との比較を行うことができます。AWS Configを使って、セキュリティグループの設定がコンプライアンス違反かどうかを検出し、アラートを発生させることが可能です。
- Amazon CloudWatch:
- CloudWatch Alarmsを使用することで、AWS ConfigやCloudTrailで検出された異常な設定変更に対してアラートを送信できます。例えば、セキュリティグループの設定がコンプライアンス基準を満たしていない場合、CloudWatchでアラートを設定して、即座に通知を送信することができます。
システム構築手順:
- AWS Configで、EC2インスタンスのセキュリティグループの設定がコンプライアンス基準に合致しているかを定期的に評価します。
- CloudTrailで、誰がどのタイミングでセキュリティグループの設定を変更したかを記録します。
- CloudWatch Alarmsで、設定変更に関する通知を設定し、問題が発生した場合にエンジニアや管理者にアラートを送信します。
これにより、セキュリティグループの不正な変更を素早く検出し、適切な対応を取ることができます。
実践
略
一問道場
企業は、すべてのインフラをAWS上に構築しています。企業は、Amazon EC2インスタンスを使用してeコマースウェブサイトをホストし、Amazon S3を使用して静的データを保存しています。
3人のエンジニアが1つのAWSアカウントでクラウド管理と開発を行っています。
時折、あるエンジニアが他のエンジニアのEC2セキュリティグループ設定を変更し、その結果、環境でコンプライアンスの問題が発生します。
ソリューションアーキテクトは、エンジニアが行った変更を追跡するシステムをセットアップする必要があります。
このシステムは、エンジニアがEC2インスタンスのセキュリティ設定にコンプライアンス違反の変更を加えた場合にアラートを送信する必要があります。
最速でこの要件を満たす方法はどれですか?
- A. 企業用にAWS Organizationsを設定する。SCPを適用して、AWSアカウント内で行われたセキュリティグループの非準拠な変更を管理および追跡する。
- B. AWS CloudTrailを有効にして、EC2セキュリティグループの変更をキャプチャする。Amazon CloudWatchルールを設定して、非準拠なセキュリティ設定が検出された場合にアラートを送信する。
- C. AWSアカウントにSCPを有効にして、非準拠なセキュリティグループ変更が行われた場合にアラートを送信する。
- D. EC2セキュリティグループでAWS Configを有効にして、非準拠な変更を追跡する。変更をAmazon SNSトピックを通じてアラートとして送信する。
解説
D. EC2セキュリティグループでAWS Configを有効にして、非準拠な変更を追跡する
エンジニアがEC2インスタンスのセキュリティ設定にコンプライアンス違反の変更を加えた場合にアラートを送信する必要から見ると
- AWS Configは、AWSリソースの設定履歴を記録し、設定が事前に定義したルール(コンプライアンス基準)に従っているかどうかを評価します。EC2セキュリティグループの設定変更が非準拠であった場合、その変更を検出し、アラートを送信する機能を持っています。
- Amazon SNSを利用して、非準拠な変更に対するアラートを発信することができます。
- このアプローチでは、AWS Configの評価が非常に重要です。Configはリソースの状態を監視し、定期的にチェックを行うことでコンプライアンス違反を検出します。
なぜDが正解か
- AWS Configは、リソース設定の監視、評価、アラートの発信という一連の機能を包括的に提供します。特に「非準拠な変更」を追跡するためのツールとしては非常に優れています。CloudTrailやCloudWatchルールは変更の履歴をキャプチャしてアラートを発信するために有用ですが、Configはリソースの設定が基準を満たしているかを直接評価するため、コンプライアンス監視の要件を満たすには最も適した方法です。
まとめ
- Dが最適な解決策です。AWS Configを使用して非準拠な変更を追跡し、変更があった際にアラートを送信するという方法が、要件に最も速やかに対応できる方法となります。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/172d7ae8-88e2-8001-879f-ff8135fdd23d
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
