Q98 — AWS DOP-C02 第1章

第 98/100 题 | ← 返回第1章

DevOps管理员负责管理公司Amazon CloudWatch的安全性 记录日志组。公司的安全政策规定,员工ID在日志中不果可见,除非 由着肯人员执行。员工ID遵循Emp-XXXXXX的模式,密中每个X都是一个数字。 审计发现,员工ID位于单个日志文件中。日志文件可供工程师使难, 但工程师岛肯查看员工ID。工程师宫前拥响AWS IAM身份 中心肯限允许登录:∗帐户中的职响资源。 管理员客间屏蔽员工ID,这样包释员工ID的新日志条宫就不名 未经着肯的人员可见。 哪种解决方案能够以MOST的运行效率两足这些要求?

正确答案: A. 在日志组上创建新的数据保护策略。添加Emp-\d{6}自定义数据标识符 配置。创建一个IAM策略,该策略对操作“:”日志:取消掩码“权限具有拒绝操作 资源。将保单附在工程账户上。

解析

该题考察Amazon CloudWatch数据保护策略与IAM权限控制的应用。AWS文档指出,CloudWatch Logs的数据保护策略可定义敏感数据标识符并自动屏蔽匹配内容。选项A使用自定义标识符Emp-\d{6}精准匹配员工ID格式,结合IAM策略显式拒绝logs:Unmask操作,确保工程师无法解除屏蔽。其他选项如Lambda或Firehose需额外数据处理步骤,增加延迟和复杂性;选项B的托管标识符无法匹配自定义模式,选项D的Macie用于存储后分析而非实时屏蔽。AWS最佳实践推荐通过原生策略控制实现最小化操作开销。