Q33 — AWS DOP-C02 第1章
第 33/100 题 | ← 返回第1章
一家公司响一个AWS账户,在一个AWS区域中运行数百个Amazon EC2实暗。账户中每争唱都名启动和终止新的 EC2实暗。该帐户黑包括已运行超活一周的现响EC2实暗。 公司的安全策略要求职响运行的EC2实暗都使难EC2实暗配置文件。如得EC2实暗顶响附加实暗配置文件,则EC2实暗客间使难未 分配IAM肯限的默即实暗配置文件。 DevOps工程师检查帐户并发现在顶响实暗配置文件的情况下运行的EC2实暗。在审查期须,DevOps工程师黑观察到新的EC2实暗 在顶响实暗配置文件的情况下启动。 哪种解决方案将确保将实暗配置文件附加到该区域中职响现响和未范的EC2实暗?
- A. 配置响应 EC2 RunInstances API调用的Amazon EventBridge 规则。配置规则以调用AWS Lambda函数以将默认实例配置文件附加到EC2实例。
- B. 使用触发类型的配置更改配置ec2-instance-profile-attached AWS Config 托管规则。配置自动修复操作,调用AWS Systems Manager Automation runbook 将默认实例配置文件附加到EC2实例。 ✓
- C. 配置响应EC2 Startinstances API调用的Amazon EventBridge 规则。配置规则以调用AWS Systems Manager Automation Runbook以将默认实例配置文件附加到EC2实例
- D. 使用触发类型的配置更改配置iam-role-managed-policy-check AWS Config托管规则。配置调用AWS Lambda函数以将默认实例配置文件附加到EC2实例的自动修复操作。
正确答案: B. 使用触发类型的配置更改配置ec2-instance-profile-attached AWS Config 托管规则。配置自动修复操作,调用AWS Systems Manager Automation runbook 将默认实例配置文件附加到EC2实例。
解析
答案B是正确的。AWSConfig托管规则可以持续监测EC2实例的配置更改情况。对于“ec2-instance-profile-attached”这种与实例配置文件相关的规则,当其检测到不符合要求(即没有实例配置文件)的情况时,可以通过自动修复操作,调用AWSSystemsManagerAutomationrunbook来将默认实例配置文件附加到EC2实例上,从而有效地确保该区域中所有现有和未来的EC2实例都能符合安全策略要求。而A选项针对的是EC2RunInstancesAPI调用,可能无法涵盖所有情况;C选项针对的是EC2StartInstancesAPI调用,也存在覆盖不全面的问题;D选项针对的是IAM角色管理策略检查,与确保实例配置文件附加的直接相关性较弱。所以,选项B是最合适的解决方案。 查看全部