Question#62(SAP-C02)

ある会社は、1 つの AWS アカウントで数千台の Amazon EC2 インスタンスにアプリケーションをデプロイしています。セキュリティ監査の結果、いくつかの 暗号化されていない Amazon EBS ボリュームが EC2 インスタンスにアタッチされていることが判明しました。会社のセキュリティポリシーでは、EBS ボリュームは暗号化されている必要があります。

会社は EBS ボリュームを自動で暗号化するソリューションを実装する必要があります。また、開発チームが新しい「非暗号化」EBS ボリュームを作成できないように防止する必要があります。この要件を満たすソリューションはどれですか？

A. 暗号化されていない EBS ボリュームを特定する AWS Config 管理ルールを構成する。自動修復アクションを構成する。新しい暗号化 EBS ボリュームを作成する手順を含む AWS Systems Manager Automation ランブックを関連付ける。AWS KMS のカスタマーマネージドキーを作成する。キーポリシーに、非暗号化 EBS ボリュームの作成を拒否するステートメントを含める。
B. AWS Systems Manager Fleet Manager を使用して、非暗号化 EBS ボリュームの一覧を作成する。新しい暗号化 EBS ボリュームを作成する手順を含む Systems Manager Automation ランブックを作成する。非暗号化 EBS ボリュームの作成を拒否する SCP を作成する。
C. AWS Systems Manager Fleet Manager を使用して、非暗号化 EBS ボリュームの一覧を作成する。新しい暗号化 EBS ボリュームを作成する手順を含む Systems Manager Automation ランブックを作成する。アカウント設定で EBS 暗号化を常に有効にするよう変更する。
D. 暗号化されていない EBS ボリュームを特定する AWS Config 管理ルールを構成する。自動修復アクションを構成する。新しい暗号化 EBS ボリュームを作成する手順を含む AWS Systems Manager Automation ランブックを関連付ける。アカウント設定で EBS 暗号化を常に有効にするよう変更する。

正解と解説ディスカッション 0

正解：D

要件は 2 つあります。

既存の非暗号化 EBS ボリュームを自動で暗号化に是正すること。
今後新規に作成される全 EBS ボリュームを強制的に暗号化すること。

AWS Config の管理ルール ebs-volume-encrypted を使えば、非暗号化ボリュームを継続的に検出できます。これに 自動修復（オートリメディエーション） を設定し、Systems Manager Automation のランブック（例：AWSConfigRemediation-EncryptEBSVolume など、スナップショット→暗号化コピー→置換の手順を実行）を紐づければ、既存ボリュームを自動で暗号化状態へ是正できます。将来の未然防止には、アカウント設定の「EBS のデフォルト暗号化（Encryption by default）」を有効化します。これにより、そのアカウントで新規に作成される EBS ボリュームは 必ず暗号化されます（ユーザーが明示的に暗号化をオフにすることはできなくなります）。以上をまとめて満たすのが D です。 Config（検出）＋自動修復（SSM Automation）で既存を是正し、アカウントの EBS デフォルト暗号化で将来をブロック。要件 1 と 2 を最小運用で網羅します。

Question#62(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル