Q59 — AWS DOP-C02 第1章
第 59/100 题 | ← 返回第1章
一家公司使难AWS Organizations范管理多个账户。信息安全策略要求将职响未加其的AmazonEBS卷标记为不合规。DevOps 工程师需要自动赛署解决方案并确保此合规性检查始终存在。 响了解决方案就能做到这一点?
- A. 创建一个AWS CloudFormation 模板,定义一个AWS Inspector 规则来检查是否启用了EBS加密。将模 板保存到已与公司内所有账户共享的Amazon S3存储桶中。更新指向Amazon S3中的CloudFormation模 板的帐户创建脚本。
- B. 创建AWS Config组织规则以检查是否启用EBS加密并使用AWSCLI部署该规则。创建并应用SCP以禁 止在整个组织内停止和删除AWS Config。 ✓
- C. 在组织中创建一个SCP。使用条件表达式设置策略以防止在EBS卷上未加密的情况下启动Amazon EC2 实例。将SCP应用于所有AWS账户。使用Amazon Athena分析AWS Cloud-Trail输出,查找拒绝 Ec2:RunInstances 操作的事件。
- D. 将IAM角色部署到来自单个受信任账户的所有账户。使用AWS CodePipe-line构建一个管道,在AWS Lambda中有一个阶段来担任IAM角色,并列出账户中的所有EBS卷。将报告发布到Amazon S3。
正确答案: B. 创建AWS Config组织规则以检查是否启用EBS加密并使用AWSCLI部署该规则。创建并应用SCP以禁 止在整个组织内停止和删除AWS Config。
解析
AWSConfig组织规则可以集中管理和监控整个组织内的配置情况,包括EBS加密的检查。通过创建组织规则并使用AWSCLI部署,能够确保在所有账户中进行一致性的合规性检查。同时,创建并应用SCP禁止在整个组织内停止和删除AWSConfig,可保证规则的持续有效执行,从而满足信息安全策略对未加密EBS卷标记为不合规的要求。所以,选项B是正确的答案。 查看全部