Q94 — AWS DOP-C02 第1章
第 94/100 题 | ← 返回第1章
在一次安全审核中,一家公司发现一些安全组允许0.0.0/0的SSH呢量。一个安全升队客间实现一个解决方案,以尽快检测和补救这个问 题。该公司使难一个组织在从国所业安全服务组织管理公司的职响从国所业安全服务帐户。 哪种解决方案能两足这些要求?
- A. 使所有的美国世界银行账户都能配置。使用一个周期性触发器来激活VPE-端口限制-检查aws配置规则。创建一个AWS拉姆达函 数来补救任何不符合规则。 ✓
- B. 在每个aws帐户中创建一个awsLabda函数来删除所有安全组规则。创建一个亚马逊事件桥规则来匹配安全组更新事件或创建事 件。将每个帐户中的Lambda函数设置为规则的目标。
- C. 使所有的美国世界银行账户都能配置。创建一个自定义的AWS配置规则,在限制的配置更改触发器上运行。将该规则配置为调 用AWS拉姆达函数来补救任何不符合的资源。
- D. 发展 在每个帐户中创建一个aws系统管理器自动化文档,以检查所有安全组并删除不符合要求的规则。每小时使用一个亚马逊工 具来运行自动化文档。
正确答案: A. 使所有的美国世界银行账户都能配置。使用一个周期性触发器来激活VPE-端口限制-检查aws配置规则。创建一个AWS拉姆达函 数来补救任何不符合规则。
解析
AWS安全组允许0.0.0.0/0的SSH流量属于高危风险,需结合检测与自动修复机制。AWS Organizations管理的多账号环境中,AWS Config服务支持跨账号合规性管理,托管规则VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS(vpc-port-check)可检测22端口是否对外开放。选项A使用周期性触发器配合Lambda自动化修复,符合AWS Well-Architected框架推荐的"持续监控+自动修复"模式。选项B删除所有安全组规则会破坏现有业务,选项C的自定义规则缺少AWS托管规则的标准化维护,选项D基于SSM Automation每小时轮询的延迟性较高,均无法达到"尽快检测和修复"的要求。