SOA-C03#2(deployment)
運用チームは EC2 フリートに対して脆弱性パッチを月次で自動適用したいと考えています。承認済みのパッチのみを対象にし、メンテナンスウィンドウ内で並列実行する必要があります。最も適した構成はどれですか。
正解:B
正解の根拠
SSM Patch Manager はパッチベースラインで承認ルールを定義し、メンテナンスウィンドウで時間枠と並列度(同時実行数・エラー率)を制御できます。スキャン・適用結果は Compliance に記録され、運用基準に沿った定期パッチ運用が可能です。
パッチ運用方式の比較
| 方式 | 承認ルール | 並列制御 |
|---|---|---|
| Patch Manager | あり | あり |
| cron + yum | なし | なし |
| Lambda + Run Command | 自作要 | 限定的 |
不正解の理由
- A: CodeDeploy はアプリケーション配布が目的のサービスで、OS パッチの承認・適用管理機能を持たず設計目的が異なります。
- C: cron + yum 直叩きは承認管理や Compliance 記録ができない副作用があり、ガバナンス要件と監査追跡に不足があります。
- D: Lambda + Run Command はベースライン管理が不在で Compliance 記録も Patch Manager 相当の整備が必要となる副作用があります。
コメント