Q56 — AWS DOP-C02 第1章
第 56/100 题 | ← 返回第1章
一家医疗保月服务公司担心难于监控患者月康的应难程序的软件许可成本不断枪加。该公司希望创建一个审计呢程以确保应难程序仅在Amazon EC2专难主育上运行。DevOps工程师客间创建一个工游呢范审核应难程序以确保合规性。 工程师应该采取什么步骤以最少的管理开销范两足此要求?
- A. 使用AWS Systems Manager配置合规性。使用对put-compliance-items API操作的调用,根据主机放置配置扫描和构建不合规EC2实例的数据库。使用Amazon DynamoDB表存储这些实例ID以便快速访问。通过调用list-compliance-summaries API操作通过 Systems Manager 生成报告。
- B. 使用在EC2实例上运行的自定义Java代码。根据要检查的实例数量,为实例设置EC2 Auto Scaling。将不合规的EC2实例ID列表发送到Amazon SQS队列。设置另一个工作程序实例以处理来自SQS队列的实例ID,并将它们写入Amazon DynamoDB。使用AWS Lambda函数终止从队列中获取的不合规实例ID,并将它们发送到Amazon SNS电子邮件主题进行分发。
- C. 使用AWS Config。通过在该区域的所有Amazon EC2资源上启用配置记录来识别要审计的所有EC2实例。使用‘config-rule-change-triggered’蓝图创建触发 AWS Lambda函数的自定义 AWS Config 规则。如果实例未在EC2专用主机上运行,请修改Lambda evaluateCompliance()函数以验证主机放置以返回 NON_COMPLIANT结果。使用AWS Config 报告解决不合规的实例。 ✓
- D. 使用AWS CloudTrail。通过分析对EC2 RunCommand API操作的所有调用,确定要审计的所有EC2实例。调用AWSLambda函数来分析实例的主机位置。将不合规资源的EC2实例ID存储在Amazon RDSMySQL数据库实例中。通过查询RDS实例生成报告,并将查询结果导出为CSV文本文件。
正确答案: C. 使用AWS Config。通过在该区域的所有Amazon EC2资源上启用配置记录来识别要审计的所有EC2实例。使用‘config-rule-change-triggered’蓝图创建触发 AWS Lambda函数的自定义 AWS Config 规则。如果实例未在EC2专用主机上运行,请修改Lambda evaluateCompliance()函数以验证主机放置以返回 NON_COMPLIANT结果。使用AWS Config 报告解决不合规的实例。
解析
选项 A 依赖于 AWS Systems Manager 和 DynamoDB,虽然有效,但管理和实现上可能较复杂。 选项 B 需要编写自定义代码和使用多种 AWS 服务,管理开销较高,且实现复杂。 C: 使用 AWS Config。通过启用配置记录来识别所有 EC2 实例,利用自定义 AWS Config 规则监控实例是否在专用主机上运行。通过 Lambda 函数自动检测不合规实例,并生成报告。这种方法利用了 AWS 的原生工具,减少了管理负担,同时确保合规性。 选项 D 则依赖 CloudTrail 和 RDS,虽然可以实现审计,但涉及的服务较多,管理上更复杂。