type
status
date
slug
summary
tags
category
icon
password

511-AWS SAP AWS 「理論・実践・一問道場」S3イベント通知

理論

サーバーレスアーキテクチャとイベント駆動型デザインのベストプラクティス

1. ファイルストレージの選択

  • Amazon S3:
    • ネイティブなイベント通知機能(オブジェクト作成時のトリガー)を持つ。
    • S3イベント通知をAWS LambdaやAmazon SQSに連携可能。
    • 高い耐久性と可用性を持ち、データ処理アーキテクチャに適している。
  • Amazon EFS:
    • ファイルシステムとして柔軟性は高いが、イベント通知機能がない。
    • 高頻度のポーリングが必要になるため、S3より管理コストが高くなる場合がある。

2. AWS Lambdaの活用

  • 特性:
    • サーバーレスで管理不要。最大15分の実行時間制限。
    • 短時間のロジックやトリガー処理(例: コンテナ選択ロジック)に最適。
  • 活用シナリオ:
    • S3イベント通知でトリガーされ、処理タスク(AWS Fargateなど)を動的に起動。

3. AWS Fargateの役割

  • 用途:
    • 長時間のコンテナベースのデータ処理(最大4時間)。
    • インフラ管理不要でスケーラブルなコンテナ運用が可能。
  • ユースケース:
    • AWS Lambdaで処理しきれない長時間のデータ処理を担当。

4. イベント駆動型アーキテクチャ

  • イベント通知:
    • S3イベント通知でLambdaをトリガー。
    • LambdaがFargateタスクを起動し、必要なコンテナイメージで処理を開始。
  • 利点:
    • リアルタイム性の高い処理。
    • ポーリングを排除し、運用コストを削減。

まとめ

  • S3 + Lambda + Fargateは、柔軟性と効率性を兼ね備えたモダンなデータ処理アーキテクチャ。
  • これにより、サーバーレスかつスケーラブルな長時間処理を実現可能。

実践

一問道場

質問 #511

ある企業がデータ処理アプリケーションをAmazon EC2インスタンス上でホストしています。このアプリケーションは、新しくアップロードされたファイルを検出するためにAmazon Elastic File System (Amazon EFS) ファイルシステムをポーリングします。新しいファイルを検出すると、アプリケーションはファイルからデータを抽出し、ファイルを処理するための適切なDockerコンテナイメージを選択するロジックを実行します。その後、アプリケーションは適切なコンテナイメージを開始し、ファイルの場所をパラメータとして渡します。
コンテナ内で実行されるデータ処理は最大で2時間かかることがあります。処理が完了すると、コンテナ内で実行されるコードは、処理後のファイルをAmazon EFSに書き戻して終了します。
企業は、コンテナを実行しているEC2インスタンスを排除するためにアプリケーションをリファクタリングする必要があります。
この要件を満たすソリューションはどれですか?

選択肢

A. Amazon Elastic Container Service (Amazon ECS) クラスターを作成します。処理をAWS Fargateタスクとして実行するように設定します。コンテナ選択ロジックをAmazon EventBridgeルールとして抽出し、新しいファイルがEFSファイルシステムに追加されたときに適切なFargateタスクを開始するようにEventBridgeルールを構成します。
B. Amazon Elastic Container Service (Amazon ECS) クラスターを作成します。処理をAWS Fargateタスクとして実行するように設定します。コンテナ選択ロジックを更新してFargateサービスとしてコンテナ化し、適切なFargateタスクを開始するように設定します。新しいファイルがEFSファイルシステムに追加されたときにFargateサービスを呼び出すようにEFSイベント通知を構成します。
C. Amazon Elastic Container Service (Amazon ECS) クラスターを作成します。処理をAWS Fargateタスクとして実行するように設定します。コンテナ選択ロジックをAWS Lambda関数として抽出し、適切なFargateタスクを開始するようにします。ファイルアップロードのストレージをAmazon S3バケットに移行し、処理コードをAmazon S3を使用するように更新します。オブジェクトが作成されたときにLambda関数を呼び出すようにS3イベント通知を構成します。
D. 処理用のAWS Lambdaコンテナイメージを作成します。Lambda関数がこれらのコンテナイメージを使用するように設定します。コンテナ選択ロジックを抽出し、適切なLambda処理関数を呼び出す意思決定Lambda関数として実行します。ファイルアップロードのストレージをAmazon S3バケットに移行し、処理コードをAmazon S3を使用するように更新します。オブジェクトが作成されたときに意思決定Lambda関数を呼び出すようにS3イベント通知を構成します。

解説

この問題の要点は以下の通りです:
  1. EC2インスタンスの排除
      • 現在、データ処理はEC2インスタンス上で実行されていますが、これを排除する必要があります。代わりにサーバーレスまたはマネージドサービスを使用します。
  1. ファイル検出とイベント駆動型アーキテクチャ
      • ファイル検出のために現在使用されているポーリングを、イベント通知(Amazon S3やEFSイベント)に置き換える必要があります。
  1. コンテナの選択ロジックとデータ処理の実行
      • コンテナの選択ロジックを適切に実行し、ファイル処理用のDockerコンテナをトリガーする必要があります。
以下に各選択肢の分析を示します。

選択肢の分析

A. Amazon ECS + AWS Fargate + EventBridge + EFS

  • 内容:
    • Amazon ECSクラスターとAWS Fargateタスクを使用し、イベント駆動型で処理を実行。
    • コンテナ選択ロジックをAmazon EventBridgeルールとして実装。
    • EventBridgeが、EFSに新しいファイルが追加された際に適切なFargateタスクを開始。
  • 問題点:
    • EFSにはネイティブなイベント通知機能がなく、EventBridgeを直接トリガーする方法はありません。そのため、新しいファイルの検出には別途ポーリングが必要になります。
  • 評価: 不正解

B. Amazon ECS + AWS Fargate + EFSイベント通知

  • 内容:
    • Amazon ECSクラスターとAWS Fargateタスクを使用。
    • コンテナ選択ロジックをFargateサービスとしてコンテナ化。
    • 新しいファイルがEFSに追加されたときにEFSイベント通知でFargateサービスをトリガー。
  • 問題点:
    • EFSにはネイティブなイベント通知機能がありません。EFSイベント通知を直接Fargateサービスに連携させることはできません。
  • 評価: 不正解

C. Amazon ECS + AWS Fargate + S3 + Lambda

  • 内容:
    • EFSではなく、ファイルストレージをAmazon S3に移行。
    • S3イベント通知を使用して、ファイルのアップロードをトリガー。
    • コンテナ選択ロジックをAWS Lambdaで実装し、Fargateタスクを起動。
  • 利点:
    • S3にはネイティブなイベント通知機能があり、Lambdaをシームレスにトリガー可能。
    • LambdaがFargateタスクを動的に起動できるため、柔軟性が高い。
    • サーバーレスアーキテクチャで管理負荷を削減可能。
  • 評価: 正解

D. AWS Lambdaコンテナイメージ + S3 + Lambda

  • 内容:
    • Lambda関数を使用してデータ処理を実行。
    • 処理用のDockerコンテナイメージをLambdaに対応させて実行。
    • コンテナ選択ロジックを別のLambda関数として実装し、S3イベント通知でトリガー。
  • 問題点:
    • AWS Lambdaには15分の実行時間制限があり、問題文の「処理に最大2時間かかる」という要件を満たせません。
  • 評価: 不正解

正解: C

解決策の流れ

  1. ファイルストレージの移行:
      • EFSではなくAmazon S3を使用し、ファイルアップロードのイベント通知を簡素化。
  1. イベント駆動型アーキテクチャ:
      • S3イベント通知を設定し、新しいファイルがアップロードされた際にAWS Lambdaをトリガー。
  1. AWS Lambdaでのコンテナ選択:
      • Lambda関数でコンテナ選択ロジックを実行し、適切なAWS Fargateタスクを起動。
  1. AWS Fargateでデータ処理:
      • Fargateタスクで最大2時間のデータ処理を実行し、結果をS3に書き戻し。

関連知識

  • EFS vs S3:
    • EFSにはネイティブなイベント通知機能がないため、S3が推奨される。
  • AWS Lambdaの制限:
    • 実行時間は最大15分。長時間の処理には不向き。
  • AWS Fargate:
    • サーバーレスなコンテナ管理サービスで、最大4時間のタスク実行が可能。
 
 

512-AWS SAP AWS 「理論・実践・一問道場」MAM

 

理論

MAM (Media Asset Management) は、メディアコンテンツ(動画、画像、音声など)の管理、アーカイブ、検索、配信を行うシステムです。MAMシステムは、メディア資産の整理、メタデータの付与、アクセスの管理、編集、配信のワークフローを効率化します。

MAMの主な機能:

  1. メタデータ管理: 動画や画像などに関連する情報(タイトル、日付、タグ、顔認識データなど)を整理し、検索しやすくする。
  1. コンテンツ管理: メディアファイルの保存、バージョン管理、アクセス制御を行う。
  1. ワークフロー管理: 編集、承認、配信などのプロセスを管理し、チーム間での協力をサポートする。
  1. 統合: 他のシステム(例えば、編集ソフトやストレージシステム)との統合により、効率的な運用を実現する。

MAMとAIの統合

  • 顔認識: メディアの顔情報を自動で識別・タグ付けして、検索性を向上させる。
  • オブジェクト認識: 動画内のオブジェクト(例: 車、風景)を認識し、メタデータとして管理する。
この問題では、既存のオンプレミスのテープライブラリから、クラウド環境(AWS)へ移行し、メディアの検索やメタデータ処理を効率化するために、AI(Amazon Rekognition)を活用しています。

実践

一問道場

Question #512

あるメディア企業が30TBのデジタルニュース動画リポジトリを所有しています。これらの動画はオンプレミスのテープライブラリに保存され、メディア資産管理(MAM)システムによって参照されています。同社はこれらの動画のメタデータを自動的に強化し、MAMの機能を使って検索可能なカタログに格納したいと考えています。
会社は動画内のオブジェクト、風景アイテム、または人物の顔などの情報に基づいて検索できることを必要としています。また、動画に登場した人々の顔の画像を含むカタログを持っています。同社はこれらの動画をAWSに移行したいと考えています。
同社はAWSとの高速なAWS Direct Connect接続を持ち、現在のファイルシステムから直接MAMソリューションの動画コンテンツを移行したいと考えています。
以下の要件を満たすため、管理の負担を最小限に抑え、既存のシステムに最小限の影響を与える方法はどれですか?

A.

  • オンプレミスにAWS Storage Gatewayのファイルゲートウェイアプライアンスをセットアップします。
  • MAMソリューションを使用して、現在のアーカイブから動画を抽出し、ファイルゲートウェイにプッシュします。
  • 顔のカタログを使用して、Amazon Rekognitionでコレクションを作成します。
  • AWS Lambda関数を構築して、RekognitionのJavaScript SDKを呼び出し、RekognitionがファイルゲートウェイのAmazon S3バックアップファイルから動画を取得し、必要なメタデータを取得してMAMソリューションにプッシュします。

B.

  • オンプレミスにAWS Storage Gatewayのテープゲートウェイアプライアンスをセットアップします。
  • MAMソリューションを使用して、現在のアーカイブから動画を抽出し、テープゲートウェイにプッシュします。
  • 顔のカタログを使用して、Amazon Rekognitionでコレクションを作成します。
  • AWS Lambda関数を構築して、RekognitionのJavaScript SDKを呼び出し、Amazon Rekognitionがテープゲートウェイ内の動画を処理し、必要なメタデータを取得してMAMソリューションにプッシュします。

C.

  • Amazon Kinesis Video Streamsを使用して動画の取り込みストリームを構成します。
  • 顔のカタログを使用して、Amazon Rekognitionでコレクションを作成します。
  • MAMソリューションからKinesis Video Streamsに動画をストリームします。
  • Amazon Rekognitionを構成して、ストリームされた動画を処理します。
  • ストリームコンシューマーを使用して必要なメタデータを取得し、そのメタデータをMAMソリューションにプッシュします。
  • ストリームを構成して動画をAmazon S3に保存します。

D.

  • OpenCVライブラリを実行するAmazon EC2インスタンスをセットアップします。
  • オンプレミスライブラリから動画、画像、顔カタログをこのEC2インスタンスのAmazon EBSボリュームにコピーします。
  • 動画を処理して必要なメタデータを取得し、メタデータをMAMソリューションにプッシュします。
  • また、動画ファイルをAmazon S3バケットにコピーします。

解説

このシナリオでは、管理の負担を最小限に抑え、既存のシステムに最小限の影響を与える方法を選ぶことが求められています。そのため、最も効果的なアプローチは、既存のインフラとプロセスにできるだけ影響を与えず、AWSのサービスを利用してメタデータを自動化する方法です。
それぞれの選択肢を詳しく見てみましょう。

A.

  • オンプレミスにAWS Storage Gatewayのファイルゲートウェイを設定して、動画をS3に転送し、Amazon Rekognitionを使用して顔を認識するという方法です。
  • このアプローチでは、AWSのストレージと認識サービスを効果的に活用し、メタデータの取得を自動化できます。さらに、MAMソリューションに直接メタデータをプッシュするためのLambda関数も組み込まれており、手動の介入が最小限になります。
  • 管理負担が少ない点と、既存のシステムに最小限の影響を与える点がメリットです。

B.

  • この選択肢では、テープゲートウェイを使ってオンプレミスのテープからAWSにデータを移行し、Amazon Rekognitionでメタデータを抽出する方法ですが、テープゲートウェイは通常、アーカイブデータを処理するためのソリューションです。高速なアクセスが必要なシナリオには最適ではないため、ファイルゲートウェイの方がより適しています。
  • テープライブラリを使用することは管理が複雑になり、速度や効率の面でも不向きなため、最適な選択肢ではありません。

C.

  • Kinesis Video Streamsを使用して、動画のストリーミング処理を行う方法です。
  • このアプローチでは、リアルタイムでの動画処理が可能となりますが、既存のオンプレミスの動画アーカイブを移行するには大きな変更が必要です。既存のMAMソリューションからKinesis Video Streamsへのストリーミングには大きなインフラ変更が必要となり、管理負担が増えます。
  • ストリーミングの設定は、比較的新しいインフラ構築が必要であり、既存システムに最小限の影響を与えるという観点からは適していません。

D.

  • EC2インスタンスを使って、OpenCVで動画を処理し、メタデータをMAMソリューションにプッシュする方法です。
  • このアプローチでは、EC2インスタンスの管理や動画処理を手動で行う必要があり、インフラの管理負担が増えます。特に、動画の取り込みや保存、処理のフローを完全に自動化するためには多くの手作業が発生し、管理が煩雑になります。
  • 管理の負担が大きく、他の選択肢と比較して手間がかかるため、最適ではありません。

結論

最も適切な選択肢は A です。AWS Storage Gatewayを使ってオンプレミスからの移行をスムーズに行い、Amazon Rekognitionで自動的にメタデータを処理し、MAMソリューションに統合する方法が最も効率的で、管理負担も少なくて済みます。
 
 

513-AWS SAP AWS 「理論・実践・一問道場」全額前払い

 

理論

コスト最適化の基本戦略

AWSのコスト最適化には、以下の主要な戦略があります:
  1. リザーブドインスタンス(Reserved Instances: RI):
      • 長期間(1年または3年)使用するEC2インスタンスに対して、全額前払い部分前払い、または前払いなしのオプションがあり、最大75%の割引を受けられます。
      • リザーブドインスタンスは長期利用に最適で、安定した利用が見込まれるインスタンスに対して有効です。
  1. セービングプラン(Savings Plans):
      • EC2、Lambda、Fargateなどのコンピュートサービスに適用できる割引プランで、Compute Savings PlanEC2 Instance Savings Planがあります。
      • セービングプランは、リザーブドインスタンスと異なり、特定のインスタンスタイプに縛られず、柔軟にコスト削減ができます。
      • 前払いなしで購入するオプションもあり、前払いの費用を抑えつつ、長期的にコスト削減できます。
  1. 前払い vs 前払いなし:
      • 前払いは割引率が高く、長期間の使用を見込む場合に効果的です。
      • 前払いなしはキャッシュフローに優れ、短期間の使用や柔軟性を重視する場合に向いていますが、割引率は低くなります。
  1. コストマネジメントツール:
      • AWS Cost ExplorerAWS Budgetsを使用して、使用状況やコストの分析、最適化のためのアクションを導き出すことができます。
      • セービングプランの推奨機能を活用して、最適なプランを選択することができます。

まとめ

  • リザーブドインスタンスセービングプランは、長期的なコスト削減を目指す最適な方法です。
  • 全額前払い部分前払いは、最も割引が大きいが、初期コストが高くなるため、キャッシュフローとのバランスを考える必要があります。
  • セービングプランは柔軟性が高く、インスタンスやコンピュートリソースに縛られないため、複数のサービスをカバーできます。
 

実践

一問道場

質問 #513
ある会社は、AWS Organizations の複数のアカウントが含まれている環境のコストを最適化する必要があります。この会社は3年前にコスト最適化活動を行い、Amazon EC2の標準リザーブドインスタンス(RI)を購入しましたが、そのリザーブドインスタンスは最近期限が切れました。会社はさらに3年間、EC2インスタンスが必要です。加えて、会社は新しいサーバーレスワークロードを展開しました。
この会社に最もコスト削減を提供する戦略はどれですか?
A.
同じリザーブドインスタンスを追加で3年間購入し、全額前払いで支払います。また、マネジメントアカウントで3年間のコンピュートセービングプランを全額前払いで購入し、追加のコンピュートコストをカバーします。
B.
各メンバーアカウントで1年間のコンピュートセービングプランを前払いなしで購入します。AWSコストマネジメントコンソールのセービングプランの推奨を使用して、コンピュートセービングプランを選択します。
C.
マネジメントアカウントで3年間のEC2インスタンスセービングプランを前払いなしで購入し、各AWSリージョンのEC2コストをカバーします。また、マネジメントアカウントで3年間のコンピュートセービングプランを前払いなしで購入し、追加のコンピュートコストをカバーします。
D.
各メンバーアカウントで3年間のEC2インスタンスセービングプランを全額前払いで購入します。AWSコストマネジメントコンソールのセービングプランの推奨を使用して、EC2インスタンスセービングプランを選択します。

解説

正解: A
不正解: B, C, D
理由:
  • A: 全額前払いのEC2リザーブドインスタンスで最大割引を受け、コンピュートセービングプランでサーバーレスやその他のコンピュートコストもカバーできるため、最もコスト削減効果が高い。
  • B: 1年契約では長期的なコスト削減が少なく、3年間の使用には不向き。
  • C: 前払いなしのセービングプランでは割引が少なく、最適ではない。
  • D: メンバーアカウントごとに購入すると管理が煩雑で効率的ではない。
 
 

514-AWS SAP AWS 「理論・実践・一問道場」S3最小限のレイテンシー

 

理論

AWSでのコンテンツ配信と最適化

AWSでのコンテンツ配信を最適化するためには、次の主要なアプローチがあります。
  1. S3マルチリージョンアクセスポイント:
      • 複数リージョンにまたがってコンテンツを提供するためのサービスです。
      • ユーザーは自分の最寄りのリージョンからコンテンツを取得することができ、パフォーマンス向上可用性の向上を実現します。
      • 自動的に最適なリージョンにデータをルーティングし、手動での管理負担を軽減します。
  1. S3クロスリージョンレプリケーション(CRR):
      • S3バケットのコンテンツを他のリージョンに自動的に複製する機能です。
      • 地理的に分散したユーザーに対して、最寄りのリージョンから高速にコンテンツを提供できます。
      • 管理の手間がやや増えますが、長期的な冗長性とパフォーマンス向上に寄与します。
  1. AWS Direct ConnectとAWS PrivateLink:
      • AWS Direct Connectはオンプレミス環境とAWS間の専用ネットワーク接続を提供し、低レイテンシでセキュアなデータ転送を可能にします。
      • AWS PrivateLinkを使うことで、パブリックインターネットを介さずに、AWSサービスと接続できます。
      • セキュリティとパフォーマンスが向上し、特に大量のデータ転送が必要な場合に有効です。
  1. Site-to-Site VPN:
      • オンプレミス環境とAWSを安全に接続するためのVPNサービスです。
      • パブリックインターネットを使うため、Direct Connectほどの低レイテンシではありませんが、コスト面で有利です。

まとめ

  • S3マルチリージョンアクセスポイントは、グローバルに分散されたユーザー向けのコンテンツ配信に最適です。
  • AWS Direct ConnectPrivateLinkの組み合わせにより、セキュアかつ低レイテンシでオンプレミス環境とAWSを接続し、データ転送を最適化できます。
  • S3クロスリージョンレプリケーションは、冗長性とパフォーマンスを向上させるための有効な手段です。

実践

一問道場

問題 #514
ある企業は、グローバルに顧客にサービスを提供する静的コンテンツ配信プラットフォームを運営しています。顧客は自分のAWSアカウントからコンテンツを消費します。
その企業はAmazon S3バケットからコンテンツを提供しています。コンテンツはオンプレミス環境からS3バケットにアップロードされており、S3ファイルゲートウェイを使用しています。
企業は、顧客に最も近いAWSリージョンからコンテンツを提供することによって、プラットフォームのパフォーマンスと信頼性を向上させたいと考えています。また、オンプレミスデータを最小限のレイテンシーで、パブリックインターネットを使わずにAmazon S3にルーティングする必要があります。
これらの要件を最小の運用負荷で満たすために必要な手順の組み合わせはどれですか?(2つ選んでください。)
A. S3マルチリージョンアクセスポイントを実装する
B. S3クロスリージョンレプリケーション(CRR)を使用して、コンテンツを異なるリージョンにコピーする
C. AWS Lambda関数を作成して、クライアントのリージョンへのルーティングを追跡する
D. AWS Site-to-Site VPN接続を使用して、マルチリージョンアクセスポイントに接続する
E. AWS PrivateLinkとAWS Direct Connectを使用して、マルチリージョンアクセスポイントに接続する

解説

この問題では、静的コンテンツの配信パフォーマンスと信頼性を向上させるために、最も近いAWSリージョンからコンテンツを提供し、オンプレミスのデータを最小限のレイテンシーで、パブリックインターネットを使用せずにAmazon S3にルーティングする方法を選択する必要があります。

各選択肢の解説

A. S3マルチリージョンアクセスポイントを実装する

  • 説明: S3マルチリージョンアクセスポイントは、複数のAWSリージョンでコンテンツを配信できるようにするサービスです。このサービスを使用すると、ユーザーが最も近いリージョンからコンテンツをアクセスでき、パフォーマンスの向上と可用性を実現できます。これにより、複数リージョンにわたるS3オブジェクトへの高速アクセスが可能になります。
  • 利点: リージョン間で自動的にデータのルーティングを行うため、最小の運用負荷で要件を満たせます。

B. S3クロスリージョンレプリケーション(CRR)を使用して、コンテンツを異なるリージョンにコピーする

  • 説明: **S3クロスリージョンレプリケーション(CRR)**を使用すると、コンテンツを異なるリージョンに複製し、ユーザーが最も近いリージョンでコンテンツを取得できるようにすることができます。これにより、コンテンツ配信のパフォーマンスが向上します。
  • 利点: S3バケット間でのデータ複製が可能で、地域ごとのパフォーマンス向上が期待できます。
  • デメリット: レプリケーションには追加のストレージと運用が必要となります。

C. AWS Lambda関数を作成して、クライアントのリージョンへのルーティングを追跡する

  • 説明: このアプローチは、Lambdaを使用してクライアントからのリクエストを追跡し、適切なリージョンにルーティングすることを目的としています。しかし、Lambdaでルーティングを追跡するのは非常に複雑で、管理の負担が増えます。
  • デメリット: 手動でのルーティング管理が必要で、運用負荷が高くなり、最小の運用負荷を実現する方法としては最適ではありません。

D. AWS Site-to-Site VPN接続を使用して、マルチリージョンアクセスポイントに接続する

  • 説明: AWS Site-to-Site VPNを使用してオンプレミスの環境とAWSを接続する方法です。これにより、オンプレミスからAWSリージョンに安全にデータを転送できます。しかし、VPN接続はパブリックインターネット経由で通信するため、要件の「パブリックインターネットを使わずに」という部分には合致しません。
  • デメリット: パブリックインターネット経由で通信するため、要件を満たさない可能性があります。

E. AWS PrivateLinkとAWS Direct Connectを使用して、マルチリージョンアクセスポイントに接続する

  • 説明: AWS PrivateLinkAWS Direct Connectを組み合わせて使用することで、専用の高速なネットワーク接続を確立し、AWSリージョンとオンプレミス環境を接続できます。これにより、パブリックインターネットを使用せずに、低レイテンシでセキュアな接続が可能です。
  • 利点: プライベート接続を利用するため、セキュリティが向上し、レイテンシも最小限に抑えられます。
  • デメリット: Direct Connectのセットアップにはコストと管理が必要ですが、要件には合致します。

最適な組み合わせ

  • A: S3マルチリージョンアクセスポイントを使用すると、最も近いリージョンからコンテンツを配信でき、パフォーマンスが向上します。
  • E: AWS PrivateLinkとAWS Direct Connectを使用すると、パブリックインターネットを使用せずに低レイテンシでオンプレミスからデータを転送できます。
これらを組み合わせることで、最小の運用負荷で、最も近いリージョンにコンテンツを提供し、オンプレミスからAmazon S3にルーティングする要件を満たすことができます。
 
 

515-AWS SAP AWS 「理論・実践・一問道場」Application Migration Service

 

理論

AWSクラウドへのデータセンター移行に関する基本的な知識:
  1. 移行ツール:
      • AWS Application Migration Service: VMwareや物理サーバーの仮想マシン(VM)をAWSへ効率的に移行するツール。エージェントレスで簡単に導入でき、移行をスムーズに実行。
      • VM Import/Export: VMイメージをAWSにインポートして移行する方法。
      • AWS Application Discovery Service: 移行前に既存環境をスキャンし、リソースの依存関係を把握するためのツール。
  1. ファイル共有の移行:
      • Amazon FSx for Windows File Server: Windows環境でのファイル共有に特化したフルマネージドファイルシステム。VMやアプリケーションが利用するファイル共有に適している。
      • Amazon EFS (Elastic File System): 主にLinux向けのスケーラブルなファイルシステムだが、Windows向けの利用には制限がある。
  1. 移行のアーキテクチャ選択:
      • Direct Connect: 高帯域の専用ネットワーク接続を利用して、AWSとオンプレミス間でデータを安全に高速に転送。
      • 帯域幅の制約: 移行の際に帯域幅が限られている場合、移行方法やデータ転送のタイミングを考慮する必要がある。
要点:
  • AWS Application Migration ServiceFSx for Windows File Server を組み合わせることで、迅速かつ安全な移行を実現可能。
  • ファイル共有データを移行する際は、特にWindows環境では FSx の使用が最適。

実践

一問道場

問題 #515
ある企業がデータセンターをAWSクラウドに移行しており、できるだけ早く移行を完了する必要があります。企業には、データセンターで実行されている多くのアプリケーションがあり、それらは数百のVMware仮想マシン(VM)で実行されています。各VMは、共通の共有ファイルを含むWindowsフォルダを共有しています。このファイル共有のサイズは100 GBを超えています。
企業のコンプライアンスチームは、各VMに対するソフトウェアのインストールや変更について、変更リクエストを提出し、承認を得る必要があると要求しています。
企業は、AWSとデータセンター間で10 GBの帯域幅を持つAWS Direct Connect接続を確立しています。
この移行を最短時間で完了するために、企業はどの手順を取るべきですか?
(最も適切な手順を選んでください)
A. VM Import/Exportを使用して各VMのイメージを作成します。AWS Application Migration Serviceを使用してイメージを管理および表示します。Windowsファイル共有データをAmazon Elastic File System(Amazon EFS)にコピーします。移行後、ファイル共有をEFSファイルシステムに再マッピングします。
B. AWS Application Discovery ServiceエージェントレスアプライアンスをVMware vCenterにデプロイします。AWS Migration Hubで発見されたVMのポートフォリオを確認します。
C. AWS Application Migration ServiceエージェントレスアプライアンスをVMware vCenterにデプロイします。Windowsファイル共有データを新しいAmazon FSx for Windows File Serverファイルシステムにコピーします。移行後、各VMのファイル共有をFSx for Windows File Serverファイルシステムに再マッピングします。
D. AWS Application Discovery ServiceエージェントとAWS Application Migration Serviceエージェントを各VMwareハイパーバイザーに直接デプロイします。AWS Migration Hubでポートフォリオを確認します。各VMのファイル共有データを新しいAmazon FSx for Windows File Serverファイルシステムにコピーします。移行後、各VMのファイル共有をFSx for Windows File Serverファイルシステムに再マッピングします。

解説

最も適切な手順は C です。
理由:
  • AWS Application Migration Service を使用すると、VMware仮想マシンの移行を簡素化できます。エージェントレスアプライアンスを使用して、VMの移行を効率的に管理できます。
  • 移行後、各VMが使用するファイル共有データを、新しい Amazon FSx for Windows File Server にコピーし、再マッピングすることで、Windows環境でのファイル共有をスムーズに維持できます。
  • Amazon FSx for Windows File Server は、Windows向けのフルマネージドファイルシステムであり、Windowsベースのファイル共有に最適です。これにより、ファイル共有のストレージ要件を簡単に満たし、移行後も効率的に運用できます。
他の選択肢との違い:
  • A は、EFS(Elastic File System)を提案していますが、EFSはLinux向けに最適化されており、Windowsのファイル共有にはFSxがより適しています。
  • BD は、AWS Application Discovery Serviceを使用したVMの発見や管理に関する内容ですが、ファイル共有の移行に関しては触れていません。また、D は各VMにエージェントをインストールする必要があり、手間が増えます。
そのため、C が最短時間での移行を実現する最適な選択肢です。
 
 

516-AWS SAP AWS 「理論・実践・一問道場」CloudTrail Lake

 

理論

AWSでのアカウント活動の集約とクエリに関する基本知識
  1. AWS CloudTrail:
      • AWSのリソースに対するアクション(API呼び出しやユーザー操作)を記録するサービス。
      • CloudTrail管理イベント: AWSリソースに対する操作や変更を記録。
      • CloudTrailイベント履歴: 特定のアカウント内のイベントを管理者が手動で確認できる。
  1. CloudTrail Lake:
      • CloudTrail Lakeは、複数のAWSアカウントにまたがるCloudTrailイベントを集約するサービス。
      • SQLクエリを使ってイベントデータを効率的に検索・分析できる。
      • 大規模な環境で複数のアカウントを横断的に監視するのに最適。
  1. データクエリの方法:
      • CloudTrailイベント履歴: 単一アカウント内で簡単な確認が可能だが、複数アカウントに跨るデータの管理には限界がある。
      • CloudTrail Lake: 複数アカウントのデータを集約し、SQLベースで強力なクエリを実行できる。
  1. クロスアカウントログの管理:
      • CloudWatch Logs Insights: 複数アカウントのデータを集約して分析するには、CloudWatch Logs Insightsを使うことができるが、CloudTrail Lakeのほうがデータクエリの柔軟性や管理面で優れています。

要点:

  • 複数アカウントのアクティビティログを一元管理し、SQLで効率的にクエリするには CloudTrail Lake が最適。
  • CloudTrail を利用してイベントを集約し、データを後から簡単に検索・分析できる構造を作ることが重要。

実践

一問道場

問題 #516
ある企業がAWS Organizationsの複数のAWSアカウントを管理しています。企業はAWSアカウントのアクティビティを保存し、中央の場所からSQLを使用してデータをクエリする必要があります。
どのソリューションがこの要件を満たしますか?
A. 各アカウントでAWS CloudTrailトレイルを作成します。トレイルにCloudTrail管理イベントを指定します。CloudTrailにイベントをAmazon CloudWatch Logsに送信するように設定します。CloudWatchのクロスアカウントの可視性を設定します。CloudWatch Logs Insightsでデータをクエリします。
B. 委任された管理者アカウントを使用してAWS CloudTrail Lakeデータストアを作成します。データストアにCloudTrail管理イベントを指定します。データストアを組織内のすべてのアカウントに対して有効にします。CloudTrail Lakeでデータをクエリします。
C. 委任された管理者アカウントを使用してAWS CloudTrailトレイルを作成します。トレイルにCloudTrail管理イベントを指定します。トレイルを組織内のすべてのアカウントに対して有効にします。他の設定はデフォルトのままにします。CloudTrailのイベント履歴ページからCloudTrailデータをクエリします。
D. AWS CloudFormation StackSetsを使用して、各アカウントにAWS CloudTrail Lakeデータストアをデプロイします。データストアにCloudTrail管理イベントを指定します。他の設定はデフォルトのままにします。CloudTrail Lakeでデータをクエリします。

解説

この問題に関する解説は以下の通りです。

要件:

  • 複数のAWSアカウントにまたがるアクティビティデータを一元管理
  • データをSQLを使って中央からクエリしたい

各選択肢の評価:

A: CloudTrailトレイルを各アカウントに作成

  • 説明: 各アカウントに個別のCloudTrailトレイルを設定し、CloudWatch Logsにデータを送信し、CloudWatch Logs Insightsでデータをクエリします。
  • 問題点: 各アカウントにトレイルを設定し、個別にクエリする方法は、管理が煩雑になります。クロスアカウントの可視性の設定が必要ですが、この方法は中央でのクエリや集中管理には不便です。

B: CloudTrail Lakeデータストアを利用

  • 説明: 委任された管理者アカウントを使ってCloudTrail Lakeデータストアを作成し、すべてのアカウントのデータを集約します。CloudTrail Lakeは、集約されたアクティビティデータを効率的に保存し、SQLを使ってクエリする機能を提供します。
  • 最適な選択肢: このアプローチは、複数のAWSアカウントからのデータを集約し、SQLを使用して中央からデータをクエリする要件を完璧に満たします。CloudTrail Lakeは、組織全体のログデータを集約し、効率的に管理するのに最適です。

C: CloudTrailトレイルを全アカウントに有効化

  • 説明: 委任された管理者アカウントを使ってCloudTrailトレイルを作成し、すべてのアカウントに対してトレイルを有効にします。デフォルト設定では、CloudTrailのイベント履歴ページでクエリができます。
  • 問題点: この方法では、SQLクエリのような詳細なクエリやデータ分析が難しいです。また、複数アカウントのデータを一元管理するのには向いていません。

D: CloudFormation StackSetsでデータストアをデプロイ

  • 説明: CloudFormation StackSetsを使って、各アカウントにCloudTrail Lakeデータストアをデプロイします。
  • 問題点: この方法は手動での設定作業が多く、CloudTrail Lakeを使う場合、StackSetsの利用は過剰であり、効率的ではありません。Bの方法の方がシンプルで効果的です。

結論:

最適な解決策は B です。
AWS CloudTrail Lake は、複数のAWSアカウントのCloudTrailイベントを集約し、SQLを使ってデータをクエリできる最適なサービスです。これにより、中央の場所から効率的にアクティビティデータを管理およびクエリすることが可能になります。
 
 

517-AWS SAP AWS 「理論・実践・一問道場」Lambdaオーソライザー

 

理論

AWSでのAPI認証に関する基本知識
  1. AWS API Gateway:
      • API Gatewayは、AWS Lambda関数や他のAWSリソースと連携して、Web APIを提供するためのマネージドサービスです。APIリクエストを受け取り、それを適切なバックエンドサービスに転送します。
  1. 認証方法:
      • Lambdaオーソライザー(以前はカスタムオーソライザー)は、API Gatewayがリクエストの認証を行うために使うLambda関数です。OAuthトークンやJWTトークンの検証に使用でき、APIリクエストのヘッダーに含まれる認証情報をチェックします。
      • IAMオーソライザー: AWS IAMを使用して、APIへのアクセス権限を設定します。IAMユーザーまたはロールに基づいてアクセスを制御しますが、OAuthトークンを扱う場合は適切ではありません。
  1. OAuth認証:
      • OAuthトークンは、ユーザーがアプリケーションにアクセスするための許可を証明するものです。サードパーティのアイデンティティプロバイダー(例えば、GoogleやAuth0)から発行され、APIの認証に使用されます。
  1. API Gatewayとサードパーティのアイデンティティプロバイダーの統合:
      • API GatewayでOAuthトークンを使って認証を実装する場合、Lambdaオーソライザーを用いてトークンを検証することが一般的です。これにより、API Gatewayが受け取るリクエストの認証をカスタマイズできます。
  1. SAMLとSSO:
      • SAML 2.0は、企業のSSO(シングルサインオン)に使われる標準プロトコルで、主にオンプレミスや企業ネットワーク内の認証で使用されます。OAuthトークンに対しては、SAMLは適していません。

要点:

  • OAuthトークンを使用する場合、Lambdaオーソライザーが最も適切な選択肢であり、API Gatewayに対する認証を効果的に行うことができます。
  • IAMオーソライザーSAML 2.0は、OAuthトークンの認証には適していないため、特定の用途に限られます。

実践

一問道場

問題 #517
ある企業が、AWSを使用して本番のWebアプリケーションを開発および管理しています。アプリケーションには、Amazon API Gateway HTTP APIが含まれており、これがAWS Lambda関数を呼び出します。Lambda関数はデータを処理し、その後データベースに保存します。企業は、Webアプリケーションのユーザー認証を統合された方法で実装したいと考えています。企業はすでに、他のアプリケーションのためにOAuthトークンを発行するサードパーティのアイデンティティプロバイダーを使用しています。
どのソリューションがこの要件を満たしますか?
A. 企業のサードパーティのアイデンティティプロバイダーをAPI Gatewayと統合します。API Gateway Lambdaオーソライザーを設定して、アイデンティティプロバイダーからのトークンを検証します。LambdaオーソライザーをすべてのAPIルートで要求します。Webアプリケーションを更新して、アイデンティティプロバイダーからトークンを取得し、API Gateway HTTP APIを呼び出す際にAuthorizationヘッダーにトークンを含めます。
B. 企業のサードパーティのアイデンティティプロバイダーをAWS Directory Serviceと統合します。Directory ServiceをAPI Gatewayオーソライザーとして設定し、アイデンティティプロバイダーからのトークンを検証します。Directory ServiceオーソライザーをすべてのAPIルートで要求します。AWS IAM Identity CenterをSAML 2.0アイデンティティプロバイダーとして設定します。WebアプリケーションをカスタムSAML 2.0アプリケーションとして設定します。
C. 企業のサードパーティのアイデンティティプロバイダーをAWS IAM Identity Centerと統合します。API Gatewayを設定して、IAM Identity Centerを使用したゼロ設定の認証および認可を実行します。Webアプリケーションを更新して、IAM Identity CenterからAWS Security Token Service(AWS STS)のトークンを取得し、API Gateway HTTP APIを呼び出す際にAuthorizationヘッダーにトークンを含めます。
D. 企業のサードパーティのアイデンティティプロバイダーをAWS IAM Identity Centerと統合します。API Gateway HTTP APIを呼び出す権限を持つIAMユーザーを設定します。Webアプリケーションを更新して、IAMユーザーからリクエストパラメータを抽出し、API Gateway HTTP APIを呼び出す際にAuthorizationヘッダーにパラメータを含めます。

解説

この問題では、企業が既存のサードパーティのアイデンティティプロバイダー(OAuthトークンを発行)を使用して、AWS上でWebアプリケーションの認証を実装する方法を求めています。最適なソリューションを選択するために、各選択肢を評価します。

選択肢の評価:

A: API GatewayでLambdaオーソライザーを使用

  • 説明: 企業のサードパーティアイデンティティプロバイダーをAPI Gatewayと統合し、Lambdaオーソライザーを使ってOAuthトークンを検証します。これにより、API Gatewayがリクエストごとに認証を行い、Lambda関数に渡すトークンの有効性を確認します。
  • 適切な選択肢: この方法は、OAuthトークンを使った認証をAPI Gatewayで簡単に統合できるため、最も適しており、シンプルで効果的です。Lambdaオーソライザーを使用してAPIのセキュリティを強化し、OAuthトークンをAuthorizationヘッダーで検証するため、企業の要件を満たします。

B: AWS Directory Serviceを使用

  • 説明: AWS Directory ServiceをAPI Gatewayのオーソライザーとして使用し、SAML 2.0アイデンティティプロバイダーとして設定されたIAM Identity Centerと統合します。
  • 問題点: AWS Directory ServiceとSAML 2.0を使用する方法は、OAuthトークンを使用する要件に対して過剰な構成が必要です。SAML 2.0は一般的にオンプレミスのディレクトリサービスと統合するため、OAuthベースの認証には適していません。

C: IAM Identity Centerを使ったゼロ設定認証

  • 説明: IAM Identity Centerを使用して、API Gatewayにゼロ設定の認証を提供し、IAM Identity CenterからSTFトークンを取得してAPI Gatewayで認証します。
  • 問題点: この方法は、企業がすでにOAuthトークンを使っているという要件には適していません。AWS IAM Identity Centerは主にSSO(シングルサインオン)に関連した認証システムであり、OAuthトークンの処理には最適ではありません。

D: IAMユーザーによる認証

  • 説明: IAM Identity Centerと統合した後、IAMユーザーをAPI Gatewayに呼び出すために設定します。その後、WebアプリケーションでIAMユーザーのリクエストパラメータをAuthorizationヘッダーに含めます。
  • 問題点: IAMユーザーによる認証は、OAuthトークンの使用という要件には適していません。また、このアプローチではOAuthトークンによる認証の一貫性やセキュリティが確保されません。

結論:

最適なソリューションは A です。
Lambdaオーソライザーを使ってAPI GatewayでOAuthトークンを検証し、WebアプリケーションでトークンをAuthorizationヘッダーに含める方法が、最も簡潔で効果的に要件を満たします。この方法は、サードパーティのアイデンティティプロバイダーとOAuthトークンを統合し、APIの認証を実現する最適なアプローチです。
 
 

519-AWS SAP AWS 「理論・実践・一問道場」EBSボリュームは暗号化

 

理論

EBSボリュームの暗号化と自動化に関する基本知識
  1. Amazon EBSの暗号化:
      • Amazon EBS(Elastic Block Store)は、EC2インスタンスにアタッチできるブロックストレージです。EBSボリュームは暗号化されていない場合、データが平文で保存され、セキュリティリスクがあります。EBSボリュームを暗号化することで、データは保存、転送、バックアップ時に暗号化されます。
      • EBS暗号化は、データをAES-256で暗号化し、キー管理は**AWS Key Management Service (KMS)**によって管理されます。
  1. AWS Configの利用:
      • AWS Configは、AWSリソースの設定変更を追跡し、リソースの構成状態が企業のポリシーに準拠しているかを監視するサービスです。AWS Configルールを使用して、EBSボリュームが暗号化されているかどうかをチェックし、違反を検出することができます。
      • 自動修復アクションを設定することで、暗号化されていないEBSボリュームを自動的に修正(暗号化)することができます。
  1. AWS Systems Manager Automation:
      • AWS Systems Manager Automationは、運用タスクを自動化するためのサービスです。ランブック(Automation runbook)を使用して、特定の操作を自動化できます。EBSボリュームの暗号化が必要な場合、既存の未暗号化ボリュームを新しい暗号化されたボリュームに置き換える作業をランブックで自動化できます。
  1. AWSアカウント設定でのEBS暗号化強制:
      • EBS暗号化設定をAWSアカウントで有効にすると、すべての新規EBSボリュームがデフォルトで暗号化されるようになります。この設定により、開発者が意図的に暗号化されていないボリュームを作成することを防げます。
  1. SCP(サービス制御ポリシー):
      • SCPは、AWS Organizationsで使用され、組織内のアカウントに対する権限を制限するためのポリシーです。これを使って、特定のアクション(例えば、暗号化されていないEBSボリュームの作成)を制限することができます。

要点:

  • EBSボリュームの暗号化はセキュリティポリシーに基づいて必須であり、AWS Config、Systems Manager Automation、アカウント設定の強制を使用して自動化できます。
  • AWS ConfigルールSystems Manager Automationを組み合わせることで、未暗号化ボリュームの検出と修正を効率的に行えます。
  • AWSアカウント設定で新しいEBSボリュームを自動的に暗号化することが推奨されます。

実践

一問道場

問題 #518
ある企業が、AWSアカウント内の数千のAmazon EC2インスタンスにアプリケーションをデプロイしました。セキュリティ監査の結果、いくつかの暗号化されていないAmazon Elastic Block Store(Amazon EBS)ボリュームがEC2インスタンスにアタッチされていることが発見されました。企業のセキュリティポリシーでは、EBSボリュームは暗号化されている必要があります。
企業は、EBSボリュームを暗号化するための自動化されたソリューションを実装する必要があります。このソリューションは、開発チームが暗号化されていないEBSボリュームを作成することを防ぐ必要があります。
どのソリューションがこの要件を満たしますか?
A. AWS Configの管理ルールを設定して、暗号化されていないEBSボリュームを識別します。自動修復アクションを設定します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを関連付けます。AWS Key Management Service(AWS KMS)のカスタマーマネージドキーを作成します。キーのポリシーで、暗号化されていないEBSボリュームの作成を拒否するステートメントを含めます。
B. AWS Systems Manager Fleet Managerを使用して、暗号化されていないEBSボリュームのリストを作成します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを作成します。暗号化されていないEBSボリュームの作成を拒否するSCPを作成します。
C. AWS Systems Manager Fleet Managerを使用して、暗号化されていないEBSボリュームのリストを作成します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを作成します。EBS暗号化のAWSアカウント設定を変更して、新しいEBSボリュームを常に暗号化するようにします。
D. AWS Configの管理ルールを設定して、暗号化されていないEBSボリュームを識別します。自動修復アクションを設定します。新しい暗号化されたEBSボリュームを作成する手順を含むAWS Systems Manager Automationランブックを関連付けます。EBS暗号化のAWSアカウント設定を変更して、新しいEBSボリュームを常に暗号化するようにします。

解説

この問題では、企業がEC2インスタンスにアタッチされている暗号化されていないEBSボリュームを検出し、これを自動的に暗号化するためのソリューションを求めています。さらに、開発チームが新たに暗号化されていないEBSボリュームを作成するのを防ぐ必要があります。各選択肢を評価し、最適な解決策を選びます。

選択肢の評価:

A: AWS Configの管理ルール、修復アクション、KMSキーでのポリシー

  • 説明:
    • AWS Configを使用して、暗号化されていないEBSボリュームを検出します。自動修復アクションを設定して、暗号化されたEBSボリュームを作成するためのAWS Systems Manager Automationランブックを実行します。
    • さらに、AWS KMSのカスタマーマネージドキーを作成し、キーのポリシーで暗号化されていないEBSボリュームの作成を拒否するステートメントを設定します。
  • 問題点: 企業の要件に適しているが、KMSのポリシーでEBSボリューム作成の拒否を行う方法は少し過剰であり、AWSアカウント設定でEBS暗号化を強制する方が効果的です。

B: Fleet Manager、SCPによる暗号化されていないEBSボリュームの拒否

  • 説明:
    • AWS Systems Manager Fleet Managerで暗号化されていないEBSボリュームをリストし、SCP(Service Control Policies)で暗号化されていないEBSボリュームの作成を拒否します。
  • 問題点: SCPはAWS Organizationsの管理者が利用でき、適用される範囲が広いため、EC2インスタンスに関連した個別のEBSボリュームに対しては過剰です。また、Fleet Managerを使った検出後に修正作業を手動で行う必要があります。

C: Fleet Manager、EBS暗号化設定で自動化

  • 説明:
    • AWS Systems Manager Fleet Managerで暗号化されていないEBSボリュームをリストし、Automationランブックで暗号化されたEBSボリュームを作成します。
    • さらに、AWSアカウント設定でEBS暗号化を常に強制する設定を行います。
  • 適切な選択肢: この方法では、EBSボリュームが常に暗号化されることが保証され、開発者が暗号化されていないボリュームを作成できなくなります。自動化された手順で、既存の未暗号化ボリュームも修復されます。

D: AWS Config、EBS暗号化設定で自動化

  • 説明:
    • AWS Configで暗号化されていないEBSボリュームを識別し、修復アクションを設定して自動的に暗号化されたボリュームを作成します。
    • EBS暗号化のAWSアカウント設定を変更して、新しいEBSボリュームを常に暗号化します。
  • 適切な選択肢: この方法は、AWS Configによる未暗号化ボリュームの検出と修復、自動化された暗号化の設定を組み合わせるため、最も完全な解決策です。また、AWSアカウント全体でEBSボリュームが常に暗号化されるようにするため、企業のセキュリティポリシーに従った運用が可能です。

結論:

最適な解決策は D です。
AWS Configを利用して暗号化されていないEBSボリュームを検出し、AWS Systems Manager Automationランブックで修復し、EBS暗号化のアカウント設定を強制することで、暗号化されていないEBSボリュームを防ぎます。これにより、すべての新しいボリュームと既存のボリュームが自動的に暗号化されるようになります。
 
 
 

520-AWS SAP AWS 「理論・実践・一問道場」自動CVEs

 

理論

自動CVEsスキャンとセキュリティスキャンに関する基本知識

  1. CVEs(Common Vulnerabilities and Exposures)とは:
      • CVEは、ソフトウェアやシステムにおける既知の脆弱性や露出を識別するための標準化された識別番号です。これらはセキュリティリスクを特定し、修正するための情報源となります。自動CVEsスキャンは、これらの脆弱性を自動的に検出し、セキュリティの問題に早期に対処するための手段です。
  1. Amazon Inspector:
      • Amazon Inspectorは、AWS環境内で動作するリソースのセキュリティと脆弱性を評価するためのサービスです。特に、CVEsを検出する自動化されたスキャンを提供します。これにより、Lambda関数やEC2インスタンスなどのリソースで既知の脆弱性を識別することができます。
      • Lambda関数のスキャン: Amazon Inspectorは、Lambda関数のコードをスキャンし、脆弱性(例えば、CVEs)を検出します。これにより、アプリケーションのセキュリティが強化され、潜在的なリスクを事前に発見できます。
  1. Lambdaコードスキャン:
      • Lambdaコードスキャンは、コードの脆弱性や潜在的な問題(データ漏洩や誤った設定など)を検出するプロセスです。これにより、コードレベルでのセキュリティの問題を特定できます。
      • 自動化されたスキャンによって、コード内のセキュリティ問題を迅速に修正でき、セキュリティリスクを最小化できます。
  1. タグによる管理:
      • AWSリソースにタグを付けることで、リソースを論理的に分類し、スキャン対象を絞り込むことができます。例えば、特定のLambda関数にタグを付け、そのタグに基づいてスキャン対象を決定できます。これにより、必要なLambda関数だけをスキャン対象として自動化できます。
  1. Amazon GuardDutyとLambda Protection:
      • Amazon GuardDutyはAWSアカウントやリソースの脅威を監視するサービスですが、Lambda関数のコードスキャンやCVEsの検出には直接関連しません。GuardDutyは、AWS環境内での不正アクセスや異常な挙動の検出に特化しています。

まとめ:

  • 自動CVEsスキャンは、システムのセキュリティリスクを早期に発見し修正するための重要な手段です。Amazon Inspectorを使用することで、Lambda関数のコードやそのレイヤーに対する脆弱性スキャンを自動化できます。
  • Lambdaコードスキャンは、潜在的なデータ漏洩や脆弱性を検出するために不可欠です。タグを使用して、スキャン対象を選択的に絞り込むことができ、セキュリティ管理を効率化できます。

実践

一問道場

問題 #520
ある企業が、Pythonで書かれた複数のAWS Lambda関数を持っています。これらの関数は、.zipパッケージデプロイタイプでデプロイされています。関数は、共通のライブラリとパッケージを含むLambdaレイヤーを使用しており、このレイヤーは.zipファイルで提供されています。Lambdaの.zipパッケージとLambdaレイヤーの.zipファイルは、Amazon S3バケットに格納されています。
企業は、Lambda関数とLambdaレイヤーの自動スキャンを実行し、CVEs(共通脆弱性および露出)を特定する必要があります。Lambda関数のサブセットは、自動コードスキャンを実行して、潜在的なデータ漏洩やその他の脆弱性を検出する必要があります。コードスキャンは、すべてのLambda関数ではなく、選択されたLambda関数に対してのみ実行する必要があります。
この要件を満たすために必要なアクションの組み合わせはどれですか?(3つ選んでください)
A. Amazon Inspectorを有効にし、自動CVEsスキャンを開始します。
B. Amazon InspectorでLambda標準スキャンとLambdaコードスキャンを有効にします。
C. Amazon GuardDutyを有効にし、GuardDutyのLambda Protection機能を有効にします。
D. コードスキャンが必要なLambda関数の「Monitor設定」でスキャンを有効にします。
E. コードスキャンが必要ないLambda関数にタグを付け、タグに「InspectorCodeExclusion」というキーと「LambdaCodeScanning」という値を含めます。
F. Amazon Inspectorを使用して、Lambdaの.zipパッケージとLambdaレイヤーの.zipファイルが格納されているS3バケットをコードスキャンします。

解説

この問題では、AWS Lambda関数とLambdaレイヤーに対する脆弱性スキャンを自動化し、選択されたLambda関数に対してコードスキャンを実行する方法を選ぶ必要があります。具体的には、CVEs(共通脆弱性および露出)の検出とデータ漏洩などの脆弱性の自動スキャンを行い、スキャンを実施するLambda関数を特定する方法を考慮します。

選択肢の評価:

A. Amazon Inspectorを有効にし、自動CVEsスキャンを開始します。

  • 正しい選択肢:
    • Amazon Inspectorは、セキュリティの脆弱性をスキャンするためのサービスで、特にCVEsをスキャンするのに有効です。Lambda関数や関連するレイヤーを対象にCVEsの自動スキャンを実行できます。

B. Amazon InspectorでLambda標準スキャンとLambdaコードスキャンを有効にします。

  • 正しい選択肢:
    • Amazon Inspectorは、Lambda関数とそのレイヤーの標準スキャン(CVEsの検出)と、コードスキャン(潜在的なデータ漏洩や脆弱性の検出)を提供します。この選択肢は、Lambda関数とレイヤーの両方に対して必要なスキャンを実施するための最適な方法です。

C. Amazon GuardDutyを有効にし、GuardDutyのLambda Protection機能を有効にします。

  • 誤った選択肢:
    • Amazon GuardDutyは、AWSの脅威検出サービスですが、Lambda関数のコードスキャンやCVEsの検出には使用されません。GuardDutyは、主にAWSアカウントやリソースに対する不正アクセスや異常な挙動を検出するために使われますが、コードスキャンには関連しません。

D. コードスキャンが必要なLambda関数の「Monitor設定」でスキャンを有効にします。

  • 誤った選択肢:
    • Lambdaの「Monitor設定」でスキャンを有効にするオプションはありません。コードスキャンや脆弱性スキャンは、通常、Amazon Inspectorなどのサービスで設定されます。この設定自体は存在しないため、不適切です。

E. コードスキャンが必要ないLambda関数にタグを付け、タグに「InspectorCodeExclusion」というキーと「LambdaCodeScanning」という値を含めます。

  • 正しい選択肢:
    • タグを使用してLambda関数を除外することは、選択されたLambda関数のみにコードスキャンを適用する方法として有効です。タグを利用することで、Amazon Inspectorがスキャン対象から除外する関数を特定できます。

F. Amazon Inspectorを使用して、Lambdaの.zipパッケージとLambdaレイヤーの.zipファイルが格納されているS3バケットをコードスキャンします。

  • 誤った選択肢:
    • Amazon Inspectorは、S3バケット内のファイルに対するコードスキャンを直接実施することはできません。Lambda関数のコードスキャンは、Lambda関数自体に対して行う必要があり、S3に格納された.zipファイルに対しては適用されません。

正しい組み合わせ:

  • A, B, Eが正しい選択肢です。
    • AでCVEsの自動スキャンを有効にし、Bでコードスキャン(標準スキャンとコードスキャン)の両方を有効にします。
    • Eでタグ付けを活用し、スキャン対象を限定します。

結論:

この組み合わせにより、Lambda関数とレイヤーのスキャンを効果的に自動化し、選択した関数にのみコードスキャンを実施できます。
 
 
Relate Posts
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
50-AWS SAP「理論・実践・10問道場」52-AWS SAP「理論・実践・10問道場」
Loading...
Catalog
0%
minami
minami
一个普通的干饭人🍚
Announcement

🎉 ブログへようこそ 🎉

notion image
名前:みなみ独立事務所
性別:男
国籍:China
完全独学だけで基本情報をはじめ31個の資格を仕事をしながら合格。 現在はIT会社の技術担当や、ブログの執筆や学習支援などを手掛けています。 独学で合格できる学習法、勉強法、試験対策を配信します!

📚 主な内容

💻 IT・システム開発
🏠 不動産 × 宅建士
🎓 MBA 学習記録

🔍 コンテンツの探し方

現在、サイトのデザインはシンプルなため、情報がやや探しにくいかもしれません。
気になるテーマを探す際は、タグ検索の利用をおすすめします。
Search | みなみの風物詩
自分らしく未来へ
Search | みなみの風物詩
https://www.minami.ac.cn/search
Search | みなみの風物詩
Catalog
0%