みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
书籍
 

理論

企業がAWS環境を使用してインフラを構築しており、複数のエンジニアが同一のAWSアカウントで作業しています。問題は、エンジニアがEC2インスタンスのセキュリティグループ設定を誤って変更することによってコンプライアンス違反が発生することです。このような問題を防ぐため、システムをセットアップして、変更の追跡とアラート機能を提供する必要があります。
以下の手順で解決できます:
  1. AWS CloudTrail:
      • CloudTrailは、AWSアカウント内でのAPI呼び出しを追跡するサービスです。これにより、誰がどのリソースにどのような操作を行ったかを詳細に記録できます。エンジニアがセキュリティグループ設定を変更した場合、その変更内容がCloudTrailのログに記録されます。
  1. AWS Config:
      • AWS Configは、AWSリソースの設定を監視し、設定の変更履歴を保存するサービスです。特に、セキュリティグループの設定変更を追跡し、過去の設定状態との比較を行うことができます。AWS Configを使って、セキュリティグループの設定がコンプライアンス違反かどうかを検出し、アラートを発生させることが可能です。
  1. Amazon CloudWatch:
      • CloudWatch Alarmsを使用することで、AWS ConfigやCloudTrailで検出された異常な設定変更に対してアラートを送信できます。例えば、セキュリティグループの設定がコンプライアンス基準を満たしていない場合、CloudWatchでアラートを設定して、即座に通知を送信することができます。

システム構築手順:

  • AWS Configで、EC2インスタンスのセキュリティグループの設定がコンプライアンス基準に合致しているかを定期的に評価します。
  • CloudTrailで、誰がどのタイミングでセキュリティグループの設定を変更したかを記録します。
  • CloudWatch Alarmsで、設定変更に関する通知を設定し、問題が発生した場合にエンジニアや管理者にアラートを送信します。
これにより、セキュリティグループの不正な変更を素早く検出し、適切な対応を取ることができます。

実践

一問道場

企業は、すべてのインフラをAWS上に構築しています。企業は、Amazon EC2インスタンスを使用してeコマースウェブサイトをホストし、Amazon S3を使用して静的データを保存しています。
3人のエンジニアが1つのAWSアカウントでクラウド管理と開発を行っています。
時折、あるエンジニアが他のエンジニアのEC2セキュリティグループ設定を変更し、その結果、環境でコンプライアンスの問題が発生します。
ソリューションアーキテクトは、エンジニアが行った変更を追跡するシステムをセットアップする必要があります。
このシステムは、エンジニアがEC2インスタンスのセキュリティ設定にコンプライアンス違反の変更を加えた場合にアラートを送信する必要があります。

最速でこの要件を満たす方法はどれですか?

  • A. 企業用にAWS Organizationsを設定する。SCPを適用して、AWSアカウント内で行われたセキュリティグループの非準拠な変更を管理および追跡する。
  • B. AWS CloudTrailを有効にして、EC2セキュリティグループの変更をキャプチャする。Amazon CloudWatchルールを設定して、非準拠なセキュリティ設定が検出された場合にアラートを送信する。
  • C. AWSアカウントにSCPを有効にして、非準拠なセキュリティグループ変更が行われた場合にアラートを送信する。
  • D. EC2セキュリティグループでAWS Configを有効にして、非準拠な変更を追跡する。変更をAmazon SNSトピックを通じてアラートとして送信する。

解説

D. EC2セキュリティグループでAWS Configを有効にして、非準拠な変更を追跡する

エンジニアがEC2インスタンスのセキュリティ設定にコンプライアンス違反の変更を加えた場合にアラートを送信する必要から見ると
  • AWS Configは、AWSリソースの設定履歴を記録し、設定が事前に定義したルール(コンプライアンス基準)に従っているかどうかを評価します。EC2セキュリティグループの設定変更が非準拠であった場合、その変更を検出し、アラートを送信する機能を持っています。
  • Amazon SNSを利用して、非準拠な変更に対するアラートを発信することができます。
  • このアプローチでは、AWS Configの評価が非常に重要です。Configはリソースの状態を監視し、定期的にチェックを行うことでコンプライアンス違反を検出します。

なぜDが正解か

  • AWS Configは、リソース設定の監視、評価、アラートの発信という一連の機能を包括的に提供します。特に「非準拠な変更」を追跡するためのツールとしては非常に優れています。CloudTrailやCloudWatchルールは変更の履歴をキャプチャしてアラートを発信するために有用ですが、Configはリソースの設定が基準を満たしているかを直接評価するため、コンプライアンス監視の要件を満たすには最も適した方法です。

まとめ

  • Dが最適な解決策です。AWS Configを使用して非準拠な変更を追跡し、変更があった際にアラートを送信するという方法が、要件に最も速やかに対応できる方法となります。
 
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
220-AWS SAP AWS 「理論・実践・一問道場」スロットリング218-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント+プライベートGateway
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
35条書面-64問-1
35条書面-64問-1
2025年6月13日
TOKYO自習島
TOKYO自習島
2025年6月10日
平成26年秋期 午後問1
平成26年秋期 午後問1
2025年6月6日
令和5年秋期 午後問1
令和5年秋期 午後問1
2025年6月6日
令和2年秋期 午後問1
令和2年秋期 午後問1
2025年6月6日
業務上の規制-87問-1
業務上の規制-87問-1
2025年6月4日
公告

🎉 欢迎访问我的博客 🎉

🙏 感谢您的支持 🙏

📅 本站自 2024年9月1日 建立,致力于分享在 IT・MBA・不动产中介 等领域的学习与实践,并推动 学习会 的自主开展。
📖 博客语言使用比例
🇯🇵 日语 90% 🇨🇳 中文 8% 🇬🇧 英语 2%

📚 主要内容

💻 IT・系统与开发

  • 系统管理:Red Hat 等
  • 容器与编排:Kubernetes、OpenShift
  • 云计算:AWS、IBM Cloud
  • AI 入门:人工智能基础与实践
  • 技术笔记与考证经验

🏠 不动产 × 宅建士

  • 宅建士考试笔记

🎓 MBA 学习笔记

  • 管理学、经济学、财务分析等

🔍 快速查找内容(标签分类)

由于网站目前没有专门的设计,可能会导致查找信息不便。为了更快找到你感兴趣的内容,推荐使用以下标签功能 进行搜索!
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://www.minami.ac.cn/tag
标签 | みなみの風物詩
📌 定期更新,欢迎常来看看!
📬 有任何建议或想法,也欢迎留言交流!
目录
0%