Q38 — AWS DOP-C02 第2章
第 38/100 题 | ← 返回第2章
一家公司响一个跨多个AWS帐户运行的数据接收应难程序。帐户位于AWS组织的一个组织中。公司需要监控应难程序并整合对应难程 序的访问。宫前,该公司正在吧个自动伸缩争组的Amazon EC2实暗上运行该应难程序。EC2实暗岛法访问互联网,因为数据是敏感 的。工程师已经赛署了客要的VPC端点。EC2实暗运行专门为应难程序构建的定相AMI。 为了对应难程序进行维护和故障排除,系统管理员需要能够登录到EC2实暗。这种访问客间自动化并象中控相。每当访问实暗唱, 公司的安全升队客间收到通知。 哪种解决方案能够两足这些要求?
- A. 创建一个Amazon EventBridge规则,在用户登录EC2实例时向安全团队发送通知。使用EC2实例连接登录到实例。使用AWS CloudFormation部署自动扩展组。使用cfn-init helper脚本为外部访问部署适当的VPC路由。重新构建自定义AMI,以便自定义AMI包 含AWS Systems Manager代理。
- B. 部署一个NAT网关和一台可以访问互联网的堡垒主机。创建一个安全组,允许来自堡垒主机的所有EC2实例上的传入流量。在 所有EC2实例上安装AWS系统管理器代理。使用自动扩展组生命周期挂钩来监控和审核访问。使用Systems Manager会话管理器登 录实例。将日志发送到Amazon CloudWatch日志中的日志组。将数据导出到亚马逊S3进行审计。使用S3事件通知向安全团队发送 通知。
- C. 使用EC2 Image Builder重建自定义AMI。在映像中包括最新版本的AWS Systems Manager代理。配置自动缩放组,将 AmazonSSMManagedInstanceCore角色附加到所有EC2实例。使用Systems Manager会话管理器登录实例。将会话详细信息记录到亚 马逊S3。为新文件上传创建S3事件通知,通过Amazon简单通知服务(Amazon SNS)主题向安全团队发送消息。 ✓
- D. 使用AWS Systems Manager Automation将Systems Manager代理构建到自定义AMI中。配置AWS Cong以将SCP附加到根组织帐户, 从而允许EC2实例连接到Systems Manager。使用Systems Manager会话管理器登录实例。将会话详细信息记录到亚马逊S3。为新文 件上传创建S3事件通知,通过Amazon简单通知服务(Amazon SNS)主题向安全团队发送消息。
正确答案: C. 使用EC2 Image Builder重建自定义AMI。在映像中包括最新版本的AWS Systems Manager代理。配置自动缩放组,将 AmazonSSMManagedInstanceCore角色附加到所有EC2实例。使用Systems Manager会话管理器登录实例。将会话详细信息记录到亚 马逊S3。为新文件上传创建S3事件通知,通过Amazon简单通知服务(Amazon SNS)主题向安全团队发送消息。
解析
AWS Systems Manager(SSM)会话管理器允许通过VPC端点连接EC2实例,无需互联网访问。答案要求使用EC2 Image Builder重建包含最新SSM代理的自定义AMI,并将AmazonSSMManagedInstanceCore IAM角色附加到实例。Systems Manager会话管理器访问实例时,会话日志自动存储到S3,S3事件通知触发SNS主题发送警报。这种方法无需堡垒主机或NAT网关,符合无互联网访问、集中控制和安全审计需求。选项B引入NAT网关和堡垒主机违背无互联网限制;选项D涉及SCP附加策略,属组织级配置,不符合自动扩展组直接部署要求。选项C直接通过IAM角色和VPC端点实现安全连接,是唯一满足所有条件的方案。