ある企業が、本番環境の AWS アカウントで重要なリソース(EC2 インスタンス、RDS データベース、S3 バケット)の設定変更を追跡し、変更前後の状態を比較できるようにしたい。また、特定のリソースが非準拠になった際に自動的に修正したい。最小限のカスタム開発で実現できる最も適切なサービスの組み合わせはどれか。
- A. AWS Trusted Advisor でリソースのセキュリティチェックを実施し、コスト最適化の推奨事項と合わせて月次レポートを生成する。
- B. AWS CloudTrail で API コールを記録し、Lambda 関数でログを解析して変更を検知、SNS で通知する。
- C. AWS Config でリソースの設定変更を記録し、マネージドルールまたはカスタムルールで準拠チェックを実施する。非準拠リソースに対して Systems Manager Automation ドキュメントを自動修復アクションとして設定する。
- D. Amazon EventBridge でリソース変更イベントを検知し、Step Functions でワークフローを実行して修復処理を行う。
解答と解説を見る
正解: C
AWS Config はリソースの設定履歴を継続的に記録し、変更前後の設定スナップショットをコンソールやAPI で比較できる。マネージドルール(EC2 のパブリック IP、RDS の暗号化など多数)と SSM Automation の修復アクションを組み合わせることで、非準拠になった際の自動修復もコード記述なしで設定できる。カスタム開発が最小限で済む。選択肢BはCloudTrail + Lambda によるカスタム実装で、変更前後の状態比較機能を自前で構築する必要があり開発コストが高い。選択肢DのEventBridge + Step Functions も有効な構成だが、修復ワークフローをゼロから設計する必要があり、Config の標準機能を活用するより開発コストが高い。選択肢AのTrusted Advisor は設定変更の追跡や自動修復機能を持たない。セキュリティのベストプラクティス推奨は提供するが、設定変更履歴管理と自動修復は AWS Config が専門のサービスである。
📚 関連サービスの解説: AWS Config ・ AWS Systems Manager