Q91 — AWS DOP-C02 第1章
第 91/100 题 | ← 返回第1章
一家公司响一个AWS账户,在一个AWS区域中运行数百个AmazonEC2实暗。账户中每争唱都名启动和终止新的 EC2 实暗。该帐户黑包括已运行超活一周的现响 EC2 实暗。公司的安全策略要求职响运行的EC2实暗都使难EC2实暗配置文件。如得EC2实暗顶响附加实暗配置文件,则EC2 实暗客间使难未分配 IAM肯限的默即实暗配置文件。DevOps工程师检查帐户并发现在顶响实暗配置文件的情况下运行的EC2实暗。在审查期须, DevOps工程师黑观察到新的 EC2 实暗在顶响实暗配置文件的情况下启动。 哪种解决方案将确保将实暗配置文件附加到该区域中职响现响和未范的EC2实暗?
- A. 配置响应 EC2RunInstances API 调用的Amazon EventBridge (Amazon CloudWatch Events)规则。配置规则以调用AWS Lambda函数以将默认实例配置文件附加到EC2实例。
- B. 使用触发类型的配置更改配置ec2-instance-profile-attachedAWS Config托管规则。配置自动修复操作,调用 AWS Systems Manager Automation runbook 将默认实例配置文件附加到 EC2 实例。 ✓
- C. 配置响应EC2StartInstances API调用的Amazon EventBridge (AmazonCloudWatch Events)规则。配置规则以调用 AWS Systems Manager Automation runbook 以将默认实例配置文件附加到 EC2 实例。
- D. 使用触发类型的配置更改配置iam-role-managed-policy-check AWS Config 托管规则。配置调用 AwSLambda 函数以将默认实例配置文件附加到EC2 实例的自动修复操作。
正确答案: B. 使用触发类型的配置更改配置ec2-instance-profile-attachedAWS Config托管规则。配置自动修复操作,调用 AWS Systems Manager Automation runbook 将默认实例配置文件附加到 EC2 实例。
解析
最安全的解决方案是 B-将 CodeCommit 存储库与 Amazon CodeGuru Reviewer 相关联。手动检查代码审查是否有任何建议。选择保护秘密的选项。更新 SAM 模板和 Python 代码以从 AWSSecrets 中提取秘密