Q98 — AWS DOP-C02 第1章
第 98/100 题 | ← 返回第1章
DevOps管理员负责管理公司Amazon CloudWatch的安全性 记录日志组。公司的安全政策规定,员工ID在日志中不果可见,除非 由着肯人员执行。员工ID遵循Emp-XXXXXX的模式,密中每个X都是一个数字。 审计发现,员工ID位于单个日志文件中。日志文件可供工程师使难, 但工程师岛肯查看员工ID。工程师宫前拥响AWS IAM身份 中心肯限允许登录:∗帐户中的职响资源。 管理员客间屏蔽员工ID,这样包释员工ID的新日志条宫就不名 未经着肯的人员可见。 哪种解决方案能够以MOST的运行效率两足这些要求?
- A. 在日志组上创建新的数据保护策略。添加Emp-\d{6}自定义数据标识符 配置。创建一个IAM策略,该策略对操作“:”日志:取消掩码“权限具有拒绝操作 资源。将保单附在工程账户上。 ✓
- B. 在日志组上创建新的数据保护策略。为个人添加托管数据标识符 数据类别。创建一个IAM策略,该策略对“NotAction”具有拒绝操作:“logs:Unmask” 对资源的权限。将保单附在工程账户上。
- C. 创建一个AWS Lambda函数来解析日志文件条目,删除员工ID,并写入 将结果记录到新的日志文件中。在日志组上创建Lambda订阅筛选器,然后选择Lambda 功能。为日志组授予lambda:InvokeFunction权限。
- D. 创建一个以Amazon S3存储桶为目的地的Amazon Data Firehose交付流。 在使用Firehose传递流的日志组上创建Firehose订阅筛选器。删除 工程帐户上的“日志:∗”权限。在S3存储桶上创建Amazon Macie作业 具有Emp-\d{6}自定义标识符。
正确答案: A. 在日志组上创建新的数据保护策略。添加Emp-\d{6}自定义数据标识符 配置。创建一个IAM策略,该策略对操作“:”日志:取消掩码“权限具有拒绝操作 资源。将保单附在工程账户上。
解析
该题考察Amazon CloudWatch数据保护策略与IAM权限控制的应用。AWS文档指出,CloudWatch Logs的数据保护策略可定义敏感数据标识符并自动屏蔽匹配内容。选项A使用自定义标识符Emp-\d{6}精准匹配员工ID格式,结合IAM策略显式拒绝logs:Unmask操作,确保工程师无法解除屏蔽。其他选项如Lambda或Firehose需额外数据处理步骤,增加延迟和复杂性;选项B的托管标识符无法匹配自定义模式,选项D的Macie用于存储后分析而非实时屏蔽。AWS最佳实践推荐通过原生策略控制实现最小化操作开销。