Question#53(SCS-C01)

ある会社は、新しいコンプライアンス要件を導入して顧客ニーズに対応しようとしています。新要件によると、基盤となるストレージの暗号化を欠く Amazon RDS の DB インスタンスまたは DB クラスターは使用してはなりません。会社は、暗号化されていない DB インスタンスまたは DB クラスターが作成されたときにメールアラートを生成し、かつその暗号化されていないリソースを終了（削除）するソリューションを必要としています。

この要件を最も運用効率よく満たすソリューションはどれですか。

A. 暗号化されていない RDS ストレージを検出するために AWS Config マネージドルールを作成する。自動修復アクションを設定し、AWS Lambda 関数とメール配信先をサブスクライバーに含む Amazon Simple Notification Service (Amazon SNS) トピックへメッセージを発行する。Lambda 関数で暗号化されていないリソースを削除するよう構成する。
B. 暗号化されていない RDS ストレージを検出するために AWS Config マネージドルールを作成する。手動修復アクションを設定して AWS Lambda 関数を呼び出す。Lambda 関数で SNS トピックへのメッセージ発行と暗号化されていないリソースの削除を行うよう構成する。
C. DB インスタンスまたは DB クラスターの作成をトリガーとする RDS のイベントパターンを評価する Amazon EventBridge ルールを作成する。ルールを構成して、Lambda 関数とメール配信先をサブスクライバーに含む SNS トピックへメッセージを発行する。Lambda 関数で暗号化されていないリソースを削除するよう構成する。
D. DB インスタンスまたは DB クラスターの作成をトリガーとする RDS のイベントパターンを評価する Amazon EventBridge ルールを作成する。ルールで AWS Lambda 関数を呼び出すように構成する。Lambda 関数で SNS トピックへのメッセージ発行と暗号化されていないリソースの削除を行うよう構成する。

正解と解説ディスカッション 0

正解：A

AWS Config のマネージドルールで「暗号化されていない」状態を標準的に検出し、自動修復で SNS 通知と Lambda による削除を実行します。評価・是正の両輪をマネージドに近い形で回せるため、最も運用効率が高い解です。

要件は ①暗号化されていない RDS リソースの検出、②メール通知、③暗号化されていないリソースの自動終了（削除）、そして④これらを最小の運用労力で実現することです。

この観点で最適なのが AWS Config のマネージドルール + 自動修復 です。AWS Config には RDS の暗号化有無を評価するマネージドルール（例：rds-storage-encrypted、rds-cluster-storage-encrypted）が用意されており、作成直後から継続的に評価できます。違反検出時の自動修復として SSM Automation または Lambda を呼び出す設定にしておけば、違反を検知→SNS でメール通知→Lambda で対象 DB インスタンス／DB クラスターを削除という流れを自動化できます。 Config のマネージドルールを使うため、ルール実装・評価ロジックの保守は不要で、運用負荷が最小になります。EventBridge で独自に作り込むよりも、コンプライアンス観点では Config（評価の単一基盤 + 自動修復） が定石です。

Question#53(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル