Q56 — AWS DOP-C02 第1章

第 56/100 题 | ← 返回第1章

一家医疗保月服务公司担心难于监控患者月康的应难程序的软件许可成本不断枪加。该公司希望创建一个审计呢程以确保应难程序仅在Amazon EC2专难主育上运行。DevOps工程师客间创建一个工游呢范审核应难程序以确保合规性。 工程师应该采取什么步骤以最少的管理开销范两足此要求?

正确答案: C. 使用AWS Config。通过在该区域的所有Amazon EC2资源上启用配置记录来识别要审计的所有EC2实例。使用‘config-rule-change-triggered’蓝图创建触发 AWS Lambda函数的自定义 AWS Config 规则。如果实例未在EC2专用主机上运行,请修改Lambda evaluateCompliance()函数以验证主机放置以返回 NON_COMPLIANT结果。使用AWS Config 报告解决不合规的实例。

解析

选项 A 依赖于 AWS Systems Manager 和 DynamoDB,虽然有效,但管理和实现上可能较复杂。 选项 B 需要编写自定义代码和使用多种 AWS 服务,管理开销较高,且实现复杂。 C: 使用 AWS Config。通过启用配置记录来识别所有 EC2 实例,利用自定义 AWS Config 规则监控实例是否在专用主机上运行。通过 Lambda 函数自动检测不合规实例,并生成报告。这种方法利用了 AWS 的原生工具,减少了管理负担,同时确保合规性。 选项 D 则依赖 CloudTrail 和 RDS,虽然可以实现审计,但涉及的服务较多,管理上更复杂。