Q54 — AWS DOP-C02 第1章
第 54/100 题 | ← 返回第1章
一家公司的应难程序开发升队使难基于Linux的Amazon EC2实暗游为堡垒主育。对堡垒主育的笔归SSH访问仅限 于特定IP地址,如制关安全组中职定批。如得修大安全组规则以允许美任何IP地址进行SSH访问,公司的安全升队希望收到通 知。 DevOps 工程师应该怎么做状能两足这个要求?
- A. 使用aws.cloudtrail源和事件名称AuthorizeSecurityGrouplngress创建一个Amazon EventBridge规则。将AmazonSimple NotificationService(Amazon SNS)主题定义为目标。 ✓
- B. 启用Amazon GuardDuty并检查AWS Security Hub 中安全组的结果。使用自定义模式配置Amazon EventBridge规则,该模式将 GuardDuty事件与输出NON_COMPLIANT相匹配。将Amazon Simple Notifica-tion Service(Amazon SNS)主题定义为目标。
- C. 使用restricted-ssh托管规则创建AWS Config规则,以检查安全组是否不允许不受限制的传入SSH流量。配置自动修复以将消 息发布到Amazon Simple No-tification Service(Amazon SNS)主题。
- D. 启用Amazon Inspector。包括 Common Vulnerabilities and Exposures-1.1规则包以检查与堡垒主机关联的安全组。配置Amazon Inspector 以将消息发布到Amazon Simple Notification Service(Amazon SNS)主题。
正确答案: A. 使用aws.cloudtrail源和事件名称AuthorizeSecurityGrouplngress创建一个Amazon EventBridge规则。将AmazonSimple NotificationService(Amazon SNS)主题定义为目标。
解析
A是正确的。C不正确,因为restricted-ssh托管规则检查是否存在不受限制的传入SSH流量,而不是对安全组规则的更改。 Https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html