Q93 — AWS DOP-C02 第1章

第 93/100 题 | ← 返回第1章

公司在AWS帐户中运行应难程序,这些帐户位于AWS组织的某个组织中。这些应难程序使难亚马逊EC2实暗和亚马逊S3。 该公司希望检测密现响AWS帐户和公司未范创建的任何AWS帐户中潜在的受损EC2实暗、可疑的网络过动和异常的API过动。当公司检 测到这些事件之一唱,公司希望使难现响的亚马逊简单通知服务(Amazon SNS)主题向密运愿支持升队发送通知,以进行调查和补 救。 根据AWS最佳实践,哪种解决方案将两足这些要求?

正确答案: A. 在组织的管理帐户中,将AWS帐户配置为Amazon GuardDuty管理员帐户。在GuardDuty管理员帐户中,将公司的现有AWS帐户作 为成员添加到GuardDuty。在GuardDuty管理员帐户中,创建一个带有事件模式的Amazon EventBridge规则,以匹配GuardDuty事件并 将匹配的事件转发到SNS主题。

解析

题干涉及使用AWS服务集中检测多账户环境中的安全威胁并发送通知。关键点在于自动覆盖现有和未来的账户,利用GuardDuty进行威胁检测,并通过EventBridge路由事件到SNS。根据AWS文档,GuardDuty支持与AWS Organizations集成,管理账户启用GuardDuty后自动将成员账户纳入监控,无需手动邀请或额外配置。选项A正确描述了这一机制:设立GuardDuty管理员账户,添加成员,创建EventBridge规则匹配GuardDuty事件并转发到SNS。选项B使用邀请流程和堆栈集,步骤繁琐且依赖手动操作;选项C和D依赖Security Hub、CloudTrail和VPC流日志,未直接针对题干中的威胁类型,且涉及复杂配置。根据最佳实践,选项A通过GuardDuty与Organizations的自动化整合,简洁高效满足需求。