Question#15(SCS-C01)

ある会社は AWS Lambda 関数を使用してアプリケーションロジックを実装しています。会社は AWS Organizations を使用して数百の AWS アカウントを管理しています。

会社は、すべてのアカウントの Lambda 関数を 継続的に脆弱性監視するソリューションを実装する必要があります。また、検出された問題は ダッシュボードに公開しなければなりません。ただし、テスト中または開発中の Lambda 関数はダッシュボードに表示されないようにする必要があります。どのステップの組み合わせが要件を満たしますか？（2つ選択してください）

（2つ選択）

A. 組織の管理アカウントで、委任された Amazon GuardDuty 管理者アカウントを指定する。GuardDuty Summary ダッシュボードを使用して、脆弱性のある Lambda 関数の概要を取得する。
B. 組織の管理アカウントで、委任された Amazon Inspector 管理者アカウントを指定する。Amazon Inspector ダッシュボードを使用して、脆弱性のある Lambda 関数の概要を取得する。
C. テスト中または開発中のすべての Lambda 関数に「test」または「development」のタグを適用する。これらのタグを含む検出結果を抑制するサプレッションフィルターを使用する。
D. 組織の管理アカウントで AWS Shield Advanced を有効化する。Amazon CloudWatch を使用して、脆弱性のある Lambda 関数のダッシュボードを作成する。
E. すべてのアカウントで GuardDuty の Lambda Protection を有効化する。新しいアカウントに対して Lambda Protection を自動有効化する。テスト中または開発中の Lambda 関数にタグを適用する。タグキーを GuardDutyExclusion、タグ値を LambdaStandardScanning とする。

正解と解説ディスカッション 0

正解：B, C

Amazon Inspector は Lambda 関数の脆弱性スキャン（コードスキャン & 標準スキャン） をサポートする唯一のネイティブサービス。
組織全体で「委任管理者」を設定することで、全アカウントの Inspector 結果を集約し、Amazon Inspector ダッシュボードで可視化できる。
要件の「継続的監視」「ダッシュボード出力」を満たす。

Amazon Inspector には「抑制ルール（Suppression rules）」があり、タグベースで検出結果を無視できる。
開発中・テスト中の Lambda に test や development のタグを付け、抑制ルールで除外すれば、本番関数のみがダッシュボードに表示される。
要件の「テスト/開発中の関数は表示しない」を実現。

Question#15(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル