Question#48(ANS-C01)

銀行企業は、VPCから特定の公開IPアドレスに接続する必要があるアプリケーションを運用しています。ネットワークエンジニアは、アプリケーションのサブネットに関連付けられたルートテーブルに、必要な公開IPアドレスへのルートをインターネットゲートウェイ経由で設定しました。ネットワークエンジニアは、ユーザーがアプリケーションのサブネットのルートテーブルにインターネットゲートウェイをターゲットとするデフォルトルートを追加した際に、メール通知で警告する設定を行う必要があります。この要件を最も少ない実装労力で満たすソリューションはどれですか？

A. AWS Lambda関数を作成し、ルートテーブルのルートを読み取り、メール通知を送信する。0.0.0.0/0または::/0のCIDRがインターネットゲートウェイに設定されている場合にメール通知を送信するようにLambda関数を設定する。Lambda関数を1分ごとに実行するように設定する。
B. Amazon EC2 CreateRoute API呼び出しによって起動されるAWS Lambda関数を作成する。Lambda関数にメール通知を送信するように設定する。0.0.0.0/0または::/0のCIDRがインターネットゲートウェイに設定されている場合にメール通知を送信するようにLambda関数を設定する。
C. AWS Configルールをルートテーブルに対して作成し、インターネットゲートウェイ許可VPCのみの管理ルール（internet-gateway-authorized-vpc-only）を使用する。AWS Configルールに一致するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service（Amazon SNS）トピックにルーティングしてメール通知を送信する。
D. AWS Configルールをルートテーブルに対して作成し、無制限ルート禁止の管理ルール（no-unrestricted-route-to-igw）を使用する。AWS Configルールに一致するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service（Amazon SNS）トピックにルーティングしてメール通知を送信する。

正解と解説ディスカッション 0

正解：D

AWS Configのno-unrestricted-route-to-igwルールは、ルートテーブルに0.0.0.0/0または::/0がインターネットゲートウェイをターゲットとして追加された場合に非準拠を検出（https://docs.aws.amazon.com/config/latest/developerguide/no-unrestricted-route-to-igw.html）。EventBridgeルールでAWS Configの非準拠イベント（例：source: aws.config）をSNSトピックに転送し、メール通知を送信。設定はConsoleで簡単（ルール有効化、EventBridgeルール、SNSサブスクリプション）。カスタムコード不要で労力最小。正解の理由: 管理ルールとEventBridgeで効率的。要件を直接満たす。

Question#48(ANS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル