Q38 — AWS DOP-C02 第2章

第 38/100 题 | ← 返回第2章

一家公司响一个跨多个AWS帐户运行的数据接收应难程序。帐户位于AWS组织的一个组织中。公司需要监控应难程序并整合对应难程 序的访问。宫前,该公司正在吧个自动伸缩争组的Amazon EC2实暗上运行该应难程序。EC2实暗岛法访问互联网,因为数据是敏感 的。工程师已经赛署了客要的VPC端点。EC2实暗运行专门为应难程序构建的定相AMI。 为了对应难程序进行维护和故障排除,系统管理员需要能够登录到EC2实暗。这种访问客间自动化并象中控相。每当访问实暗唱, 公司的安全升队客间收到通知。 哪种解决方案能够两足这些要求?

正确答案: C. 使用EC2 Image Builder重建自定义AMI。在映像中包括最新版本的AWS Systems Manager代理。配置自动缩放组,将 AmazonSSMManagedInstanceCore角色附加到所有EC2实例。使用Systems Manager会话管理器登录实例。将会话详细信息记录到亚 马逊S3。为新文件上传创建S3事件通知,通过Amazon简单通知服务(Amazon SNS)主题向安全团队发送消息。

解析

AWS Systems Manager(SSM)会话管理器允许通过VPC端点连接EC2实例,无需互联网访问。答案要求使用EC2 Image Builder重建包含最新SSM代理的自定义AMI,并将AmazonSSMManagedInstanceCore IAM角色附加到实例。Systems Manager会话管理器访问实例时,会话日志自动存储到S3,S3事件通知触发SNS主题发送警报。这种方法无需堡垒主机或NAT网关,符合无互联网访问、集中控制和安全审计需求。选项B引入NAT网关和堡垒主机违背无互联网限制;选项D涉及SCP附加策略,属组织级配置,不符合自动扩展组直接部署要求。选项C直接通过IAM角色和VPC端点实现安全连接,是唯一满足所有条件的方案。