Q11 — AWS DOP-C02 第1章
第 11/100 题 | ← 返回第1章
一家公司只响一个aws帐户,在一个aws区域运行数百个亚马逊EC2实暗。公司每争唱启动并终止新的EC2实暗。该账户包括运行唱须超 活一周的现响EC2实暗。 该公司的安全策略要求职响运行的EC2实暗都要响一个EC2实暗配置文件。公司已经创建了一个默即的EC2实暗配置文件。默即的EC2 实暗配置文件客间附加到任何未附加配置文件的EC2实暗。 哪种解决方案能两足这些要求?
- A. 配置与亚马逊EC2运行实例API调用相匹配的亚马逊事件桥规则。将该规则配置为调用AWSLBDA函数,以将默认实例配置文件附 加到EC2实例。
- B. 配置Aws配置。部署aws配置EC2实例附加托管规则。配置一个自动补救动作,调用一个aws系统管理器自动化运行簿将默认实例 配置文件附加到EC2实例。 ✓
- C. 配置与亚马逊EC2启动API调用相匹配的亚马逊事件桥规则。将该规则配置为调用aws系统管理器自动化运行簿,将默认实例配置 文件附加到EC2实例。
- D. 发展 配置Aws配置。部署一个aws配置--角色管理的政策检查管理规则。配置一个自动补救动作,调用AWS拉姆达函数将默认实例 配置文件附加到EC2实例。
正确答案: B. 配置Aws配置。部署aws配置EC2实例附加托管规则。配置一个自动补救动作,调用一个aws系统管理器自动化运行簿将默认实例 配置文件附加到EC2实例。
解析
AWS Config服务中的托管规则"ec2-instance-profile-attached"用于检查EC2实例是否附加了实例配置文件。部署此规则后,AWS Config会持续评估所有EC2实例的合规状态,包括现有实例和新启动实例。当检测到未附加配置文件的实例时,配置的自动修复动作会触发Systems Manager Automation文档,执行附加默认配置文件的操作。该方案确保了对历史遗留实例、长期运行实例和动态创建实例的全覆盖监控与自动修复能力,完全符合安全策略中"所有运行实例必须附加配置文件"的要求。选项C的事件驱动机制无法覆盖已存在的非合规实例,选项A/D采用的Lambda方案在权限配置和执行环境方面存在额外复杂度。