Q11 — AWS DOP-C02 第1章

第 11/100 题 | ← 返回第1章

一家公司只响一个aws帐户,在一个aws区域运行数百个亚马逊EC2实暗。公司每争唱启动并终止新的EC2实暗。该账户包括运行唱须超 活一周的现响EC2实暗。 该公司的安全策略要求职响运行的EC2实暗都要响一个EC2实暗配置文件。公司已经创建了一个默即的EC2实暗配置文件。默即的EC2 实暗配置文件客间附加到任何未附加配置文件的EC2实暗。 哪种解决方案能两足这些要求?

正确答案: B. 配置Aws配置。部署aws配置EC2实例附加托管规则。配置一个自动补救动作,调用一个aws系统管理器自动化运行簿将默认实例 配置文件附加到EC2实例。

解析

AWS Config服务中的托管规则"ec2-instance-profile-attached"用于检查EC2实例是否附加了实例配置文件。部署此规则后,AWS Config会持续评估所有EC2实例的合规状态,包括现有实例和新启动实例。当检测到未附加配置文件的实例时,配置的自动修复动作会触发Systems Manager Automation文档,执行附加默认配置文件的操作。该方案确保了对历史遗留实例、长期运行实例和动态创建实例的全覆盖监控与自动修复能力,完全符合安全策略中"所有运行实例必须附加配置文件"的要求。选项C的事件驱动机制无法覆盖已存在的非合规实例,选项A/D采用的Lambda方案在权限配置和执行环境方面存在额外复杂度。