Question#7(ANS-C01)

ある企業は、複数の AWS リージョンで運用しています。同社は各リージョンにトランジットゲートウェイをデプロイしています。また、AWS Organizations を利用して、複数の AWS アカウントを 1 つの組織で運用しています。この企業は、新しく VPC が作成されるたびに、VPC フローログのデータをすべて取得する必要があります。また、フローログを特定の Amazon S3 バケットに送信する必要があります。運用上の負荷が最も少ないソリューションはどれですか？

A. 各ユーザーの IAM 権限を更新し、VPC Flow Logs が有効かつ正しく構成されている場合にのみ VPC を作成できる条件を追加する。
B. VPC Flow Logs が有効かつ正しく構成されていることを検証するカスタム AWS Config ルールを自動修復付きで作成する。この AWS Config ルールを組織全体に適用する。
C. 各トランジットゲートウェイで VPC Flow Logs を有効化する。VPC Flow Logs を指定された S3 バケットに送信するよう構成する。
D. 各アカウントで VPC 作成イベントを監視するために AWS CloudTrail を使用するサーバーレスアプリケーションをデプロイする。アプリケーションを構成し、正しい VPC Flow Logs 設定を適用する。

正解と解説ディスカッション 0

正解：B

本問題のポイントは以下の通りです：「新しい VPC が作成されるたびに VPC Flow Logs を必ず有効にする」「運用負荷を最小化する」正解の方法が最適な理由：・AWS Config の組織単位での統合管理が可能。 AWS Organizations と連携することで、全アカウント・全リージョンをカバー。・カスタムルールで「VPC Flow Logs が有効かつ S3 宛に設定されているか」をチェックできる。・自動修復（remediation action）を設定することで、人手を介さずに修正可能。例えば、VPC Flow Logs が無い場合、自動で作成する Lambda 関数を実行する設定が可能。・運用負荷を大幅に下げられる。

Question#7(ANS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル