Q44 — AWS DOP-C02 第2章
第 44/100 题 | ← 返回第2章
一家公司通活为每个外赛难户创建一个IAM难户范着予外赛难户访问密AWS账户的肯限。 DevOps工程师客间实施一种解决方案,以撤销9o天内未访问该帐户的IAM难户的访问肯限。 哪种解决方案可以两足这些要求?
- A. 在AWS账户中打开AWS Config。部署lam-user-unused-credentials-check AWS Config 托管规则配置规 则以定期运行配置AWS。配置自动修复以运行AWSConfigRemediation-RevokeUnusedlAMUserCredentials AWS Systems Manager Automation runbook. ✓
- B. 使用AWS Identity and Access Management Access Analyzer 在AWS账户中创建一个分析器。创建一个 Amazon EventBridge规则来匹配IAM用户的IAM访问分析器事件,这些事件是在9o多天前最后一次访问 的。配置规则以运行AWSConfigRemediation-DetachlAMPolicy AWS Systems Manager Automationrunbook以分离附加到IAM用户的任何策略。
- C. 在AWS账户中启用AWS Trusted Advisor。使用AWS开发人员支持计划访问AWS Support API。配置 Amazon EventBridge 计划规则以使用支持API的Trusted Advisor IAM访问密钥轮换检查来发现超过9o天 未被访问的IAM凭证。配置另一个EventBridge 规则以使用Trusted Advisor Check Item Refresh Status事 件类型并运行AWSConfigRemediation-RevokeUnusedlAMUserCredentials AWS Systems Manager Automation runbook.
- D. 在AWS账户中启用AWS Security Hub。配置确定上次访问IAM用户的时间的Security Hub规则。配置 Amazon EventBridge 规则以匹配 Security Hub 规则并运行 AWSConfigRemedia-tion- RevokeUnusedlAMUserCredentials AWS Systems Manager Automation runbook.
正确答案: A. 在AWS账户中打开AWS Config。部署lam-user-unused-credentials-check AWS Config 托管规则配置规 则以定期运行配置AWS。配置自动修复以运行AWSConfigRemediation-RevokeUnusedlAMUserCredentials AWS Systems Manager Automation runbook.
解析
选项A:正确,撤销未使用的IAM凭证。选项B:不撤销,分离非活动IAM用户的策略。选项C:不撤销,使用 Trusted Advisor 发现不活动的IAM凭证。选项D:不撤销,确定最后的IAM访问权限。