Q26 — AWS DEA-C01 第1章

第 26/100 题 | ← 返回第1章

一家公司在生产AWS账户中运行其业务负载。该公司安全团队创建了一个独立的安全AWS账户,用于存储和分析来自生产AWS账户的安全日志。生产AWS账户中的安全日志存储在Amazon CloudWatch Logs中。 该公司需要使用Amazon Kinesis Data Streams将安全日志传输至安全AWS账户。 以下哪种解决方案能满足这些要求?

正确答案: B. 在安全AWS账户中创建目标数据流。创建一个IAM角色及信任策略,授予CloudWatch Logs向该数据流写入数据的权限。在生产AWS账户中创建订阅过滤器。

解析

本题考察AWS服务集成与跨账户访问配置,涉及Amazon CloudWatch Logs与Kinesis Data Streams的跨账户日志传输场景。正确方法需确保目标数据流位于安全账户,并授权生产账户的CloudWatch Logs服务向其写入数据。根据AWS架构最佳实践,跨账户场景应在目标账户(即安全账户)创建资源并配置信任策略。选项A错误,因数据流不应置于生产账户;选项C方向错误,数据流不应保留在生产账户。选项B符合AWS官方文档指引:在安全账户创建数据流,通过IAM角色及信任策略允许生产账户的CloudWatch Logs向该流发布数据,并在生产账户配置订阅过滤器指向安全账户的数据流。