Question#64(SCS-C01)

ある企業には、Amazon Linux 2 の Amazon EC2 インスタンス群でアプリケーションを稼働させています。アプリケーションは機密データを処理しており、以下の コンプライアンス要件があります：

企業の DevOps チームは、トラブルシューティングのために時折 EC2 インスタンスへ接続する必要があります。 この要件を満たすリモートアクセスの方法はどれでしょうか？

A. アカウントレベルで EC2 シリアルコンソールへのアクセスを許可する。DevOps チームの IAM ロールがシリアルコンソールへアクセスできるように IAM ポリシーを作成する。
B. EC2 インスタンスの AMI で EC2 Instance Connect を有効化する。適切なセキュリティグループルールを設定する。DevOps チームに EC2 コンソールアクセスを付与して Instance Connect による接続を行わせる。
C. EC2 インスタンスに AWS Systems Manager へのアクセス権限を持つインスタンスロールを割り当てる。

Systems Manager Session Manager へのアクセスを許可する IAM ポリシーを作成し、DevOps チームの IAM ロールに付与する。
D. AWS Systems Manager Automation ランブックを使用して EC2 インスタンスのリモートアクセス用ポートを開放する。

ランブックを実行するためのロールを EC2 インスタンスにアタッチする。

正解：C

インバウンドポート不要（SSM Agent がアウトバウンドで通信）。
セッションアクティビティはすべて CloudWatch Logs または S3 に保存して監査可能。
IAM Identity Center から IAM ロールにマッピングすれば、認証・認可を一元管理可能。この仕組みは AWS の推奨ベストプラクティスであり、提示された要件をすべて満たします。

コメント