Q69 — AWS DOP-C02 第1章
第 69/100 题 | ← 返回第1章
在AWS组织中,一个公司在一个组织中响多个帐户。如得组织中的任何帐户关闭了亚马逊S3桶上的阻止公铁访问功能,该公司的 SecOps升队需要接收亚马逊简单通知服务(亚马逊SNS)通知。DevOps工程师客间在不影有任何AWS帐户运愿的情况下实施此更大。实 施客间确保组织中的单个成员帐户岛法关闭通知。 哪种解决方案能够两足这些要求?
- A. 指定一个帐户作为委派的Amazon GuardDuty管理员帐户。为整个组织中的所有帐户启用守卫职责。在GuardDuty管理员帐户中, 创建一个SNS主题。订阅SecOps团队的电子邮件地址到SNS主题。在同一个帐户中,创建一个Amazon EventBridge规则,该规则将 事件模式用于GuardDuty发现和SNS主题的目标。
- B. 创建一个AWS CloudFormation模板,该模板创建一个SNS主题,并向该SNS主题订阅SecOps团队的电子邮件地址。在模板中,包 含一个Amazon EventBridge规则,该规则使用s3:PutBucketPublicAccessBlock的CloudTrail活动的事件模式和SNS主题的目标。使用 CloudFormation堆栈集将堆栈部署到组织中的每个客户。
- C. 在整个组织中启用AWS配置。在delegated administrator帐户中,创建SNS主题。订阅SecOps团队的电子邮件地址到SNS主题。部 署一致性包,该一致性包在每个帐户中使用S3-bucket-level-public-access-prohibited AWS Cong managed规则,并使用AWS Systems Manager文档将事件发布到SNS主题以通知SecOps团队。 ✓
- D. 在整个组织中打开Amazon Inspector。在Amazon Inspector delegated administrator帐户中,创建一个SNS主题。订阅SecOps团队的 电子邮件地址到SNS主题。在同一个帐户中,创建一个Amazon EventBridge规则,该规则使用一个事件模式对S3桶进行公共网络 曝光,并将一个事件发布到SNS主题以通知SecOps团队。
正确答案: C. 在整个组织中启用AWS配置。在delegated administrator帐户中,创建SNS主题。订阅SecOps团队的电子邮件地址到SNS主题。部 署一致性包,该一致性包在每个帐户中使用S3-bucket-level-public-access-prohibited AWS Cong managed规则,并使用AWS Systems Manager文档将事件发布到SNS主题以通知SecOps团队。
解析
AWS服务中,AWS Config用于评估、审计和监控资源配置。AWS文档指出,AWS Config支持通过托管规则检查资源是否符合策略,如"S3-bucket-level-public-access-prohibited"规则可检测S3存储桶是否禁用公共访问。选项C通过启用AWS Config,部署一致性包应用该托管规则,利用Systems Manager自动化将不合规事件推送至SNS主题。其他选项存在不足:选项A依赖GuardDuty(威胁检测而非配置监控),选项B的CloudFormation堆栈可能被成员账户篡改,选项D的Inspector不直接关联配置变更。选项C的集中式AWS Config管理确保组织内所有账户无法绕过监控,满足题目要求。