→AWS Config
→AWS Systems Manager
・暗号化されたAmazon Elastic Block Store(Amazon EBS)ボリュームのみを作成できるようにするIAMポリシーを使用します。AWS ConfigとAWS Systems Managerを使用して、暗号化されていないEBSボリュームの検出と修復を自動化します
この選択肢が正解の理由は以下の通りです。
まず、IAMポリシーを使用して暗号化されたAmazon EBSボリュームのみを作成できるようにすると、静止時のデータ暗号化を強制することができます。これにより、安全にデータを保管することが可能となり、コンプライアンス要件を満たすことが可能になります。
また、AWS ConfigとAWS Systems Managerを使用することで、コンプライアンスに準拠していないリソースを自動的に特定し、その結果に対してコンプライアンスポリシーを適用することができます。これにより手動での管理が不要となり、運用オーバーヘッドが最小限に抑えられます。よって、この選択肢が正解となります。
選択肢:Amazon inspectorを使用して、暗号化されていないAmazon Elastic Block Store(Amazon EBS)ボリュームを検出します。AWS Systems Manager Automationルールを使用して、既存および新規のEBSボリュームを自動的に暗号化します
この選択肢が正しくない理由は以下の通りです。
Amazon Inspectorは主にアプリケーションのセキュリティ脆弱性や不正な設定を検出するためのツールであり、Amazon EBSボリュームの暗号化の有無を直接検出する機能はありません。このため、IAMポリシーとAWS Configを用いて暗号化の実施と監視を行う選択肢がより適切です。
コメント