ある企業が AWS に移行しており、セキュリティチームはすべての VPC で VPC Flow Logs を有効化し、ログを中央のセキュリティアカウントの CloudWatch Logs に集約することを義務付けています。現在 Organizations 内に 50 のアカウントがあり、将来さらに増加する予定です。新規アカウントにも自動的に適用される最も効率的な方法はどれですか?
- A. 各アカウントの担当者に Terraform スクリプトを配布し、全 VPC への Flow Logs 設定を義務付ける運用ガイドラインを策定する
- B. AWS Systems Manager Automation を使って、全アカウントの全 VPC に Flow Logs を手動で有効化するランブックを定期実行する
- C. AWS Config のマネージドルール「vpc-flow-logs-enabled」を全アカウントにデプロイし、非準拠の VPC を自動修復する Config リメディエーションを設定する
- D. CloudFormation StackSets を Organizations の管理アカウントから展開し、全アカウント・全リージョンに VPC Flow Logs 設定のスタックをデプロイする。Organizations の自動展開(Automatic Deployments)を有効にすることで新規アカウントにも自動適用される
解答と解説を見る
正解: D
CloudFormation StackSets の Organizations 統合では、OU またはアカウント全体にスタックを展開でき、Automatic Deployments 機能により新規メンバーアカウントへも自動展開されます。これにより継続的なガバナンスが実現でき、人手での対応が不要になります。 B: Systems Manager Automation の定期実行では、Flow Logs が一時的に無効化される期間が生じる可能性があり、完全な継続的準拠を保証できません。 C: Config リメディエーションは有効ですが、Flow Logs の「作成」には既存 VPC に対する修復のみ対応しており、中央 CloudWatch Logs へのクロスアカウント送信設定には追加の構成が必要です。StackSets の方が包括的です。 A: 運用ガイドラインと手動スクリプト配布は人的エラーのリスクが高く、規模が拡大するにつれ管理が困難になります。自動化された強制的な適用には対応できません。
📚 関連サービスの解説: AWS CloudFormation ・ AWS Organizations