Q93 — AWS DOP-C02 第1章
第 93/100 题 | ← 返回第1章
公司在AWS帐户中运行应难程序,这些帐户位于AWS组织的某个组织中。这些应难程序使难亚马逊EC2实暗和亚马逊S3。 该公司希望检测密现响AWS帐户和公司未范创建的任何AWS帐户中潜在的受损EC2实暗、可疑的网络过动和异常的API过动。当公司检 测到这些事件之一唱,公司希望使难现响的亚马逊简单通知服务(Amazon SNS)主题向密运愿支持升队发送通知,以进行调查和补 救。 根据AWS最佳实践,哪种解决方案将两足这些要求?
- A. 在组织的管理帐户中,将AWS帐户配置为Amazon GuardDuty管理员帐户。在GuardDuty管理员帐户中,将公司的现有AWS帐户作 为成员添加到GuardDuty。在GuardDuty管理员帐户中,创建一个带有事件模式的Amazon EventBridge规则,以匹配GuardDuty事件并 将匹配的事件转发到SNS主题。 ✓
- B. 在组织的管理帐户中,配置Amazon GuardDuty以通过邀请添加新创建的AWS帐户,并向现有的AWS帐户发送邀请。创建一个接 受GuardDuty邀请的AWS CloudFormation堆栈集,并创建一个Amazon EventBridge规则。使用事件模式配置规则,以匹配GuardDuty 事件并将匹配的事件转发到SNS主题。配置CloudFormation堆栈集以部署到组织中的所有AWS帐户。
- C. 在组织的管理帐户中,创建一个AWS CloudTrail组织踪迹。激活组织中所有AWS客户的组织追踪。创建一个SCP,启用组织中每 个帐户的VPC流日志。为组织配置AWS安全中心。使用事件模式创建一个Amazon EventBridge规则来匹配安全中心事件,并将匹配 的事件转发到SNS主题。
- D. 在组织的管理帐户中,将AWS帐户配置为AWS CloudTrail管理员帐户。在CloudTrail管理员帐户中,创建一个CloudTrail组织踪迹。 将公司现有的AWS帐户添加到组织线索中。创建一个SCP,启用组织中每个帐户的VPC流日志。为组织配置AWS安全中心。使用事 件模式创建一个Amazon EventBridge规则来匹配安全中心事件,并将匹配的事件转发到SNS主题。
正确答案: A. 在组织的管理帐户中,将AWS帐户配置为Amazon GuardDuty管理员帐户。在GuardDuty管理员帐户中,将公司的现有AWS帐户作 为成员添加到GuardDuty。在GuardDuty管理员帐户中,创建一个带有事件模式的Amazon EventBridge规则,以匹配GuardDuty事件并 将匹配的事件转发到SNS主题。
解析
题干涉及使用AWS服务集中检测多账户环境中的安全威胁并发送通知。关键点在于自动覆盖现有和未来的账户,利用GuardDuty进行威胁检测,并通过EventBridge路由事件到SNS。根据AWS文档,GuardDuty支持与AWS Organizations集成,管理账户启用GuardDuty后自动将成员账户纳入监控,无需手动邀请或额外配置。选项A正确描述了这一机制:设立GuardDuty管理员账户,添加成员,创建EventBridge规则匹配GuardDuty事件并转发到SNS。选项B使用邀请流程和堆栈集,步骤繁琐且依赖手动操作;选项C和D依赖Security Hub、CloudTrail和VPC流日志,未直接针对题干中的威胁类型,且涉及复杂配置。根据最佳实践,选项A通过GuardDuty与Organizations的自动化整合,简洁高效满足需求。