Q12 — AWS DOP-C02 第1章
第 12/100 题 | ← 返回第1章
一家公司的应难程序开发升队使难基于Linux的Amazon EC2实暗游为堡垒主育。对堡 垒主育的笔归SSH访问仅限于特定IP地址,如制关安全组中职定批。如得修大安全组规则以允许美任何IP地址 进行SSH访问,公司的安全升队希望收到通知。 DevOps 工程师应该怎么做状能两足这个要求?
- A. 使用aws.cloudtrail源和事件名称AuthorizeSecurityGroupIngress创建AmazonEventBridge(AmazonCloudWatch Events)规则。将 Amazon Simple No-tification Service(Amazon SNS)主题定义为目标。
- B. 启用Amazon GuardDuty并检查AWS Security Hub中安全组的结果。使用自定义模式配置Amazon EventBridge(Amazon CloudWatch Events)规则,该模式将 GuardDuty事件与输出NON_COMPLIANT相匹配。将Amazon Simple Notification Service(Amazon SNS)主题定义为目标。
- C. 使用restricted-ssh托管规则创建AWS Config 规则,以检查安全组是否不允许不受限制的传入SSH流量。配置自动修复以将消息发布到Amazon Simple Notification Service(Amazon SNS)主题。 ✓
- D. 启用Amazon Inspector。包括Common Vulnerabilities and Exposures-1.1规则包以检查与堡垒主机关联 的安全组。配置Amazon Inspector以将消息发布到Amazon Simple Notification Service(Amazon SNS)主题。
正确答案: C. 使用restricted-ssh托管规则创建AWS Config 规则,以检查安全组是否不允许不受限制的传入SSH流量。配置自动修复以将消息发布到Amazon Simple Notification Service(Amazon SNS)主题。
解析
参考: Https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html