Q69 — AWS DOP-C02 第1章

第 69/100 题 | ← 返回第1章

在AWS组织中,一个公司在一个组织中响多个帐户。如得组织中的任何帐户关闭了亚马逊S3桶上的阻止公铁访问功能,该公司的 SecOps升队需要接收亚马逊简单通知服务(亚马逊SNS)通知。DevOps工程师客间在不影有任何AWS帐户运愿的情况下实施此更大。实 施客间确保组织中的单个成员帐户岛法关闭通知。 哪种解决方案能够两足这些要求?

正确答案: C. 在整个组织中启用AWS配置。在delegated administrator帐户中,创建SNS主题。订阅SecOps团队的电子邮件地址到SNS主题。部 署一致性包,该一致性包在每个帐户中使用S3-bucket-level-public-access-prohibited AWS Con􀂬g managed规则,并使用AWS Systems Manager文档将事件发布到SNS主题以通知SecOps团队。

解析

AWS服务中,AWS Config用于评估、审计和监控资源配置。AWS文档指出,AWS Config支持通过托管规则检查资源是否符合策略,如"S3-bucket-level-public-access-prohibited"规则可检测S3存储桶是否禁用公共访问。选项C通过启用AWS Config,部署一致性包应用该托管规则,利用Systems Manager自动化将不合规事件推送至SNS主题。其他选项存在不足:选项A依赖GuardDuty(威胁检测而非配置监控),选项B的CloudFormation堆栈可能被成员账户篡改,选项D的Inspector不直接关联配置变更。选项C的集中式AWS Config管理确保组织内所有账户无法绕过监控,满足题目要求。