Q53 — AWS DOP-C02 第2章

第 53/100 题 | ← 返回第2章

一个安全升队担心开发人员可能名岛闻中将一个弹性IP地址附加到生书中的Amazon EC2实暗上。不允许任何开发人员将弹性IP地址 附加到实暗上。如得任何生书服务器在任何唱候都响弹性IP地址,则客间通知安全升队。 这项任务如何实现自动化?

正确答案: B. 将IAM策略附加到开发人员的IAM组,以拒绝关联地址权限。创建自定义AWS配置规则,检查弹性IP地址是否与任何标记为生产 的实例相关联,并向安全团队发出警报。

解析

这道题主要涉及AWS权限管理和资源配置监控的组合应用。AWS官方文档提到,结合IAM策略限制特定操作,并通过AWS Config自定义规则持续监控资源状态是常见的安全实践。选项B中,首先通过IAM策略显式拒绝开发人员的关联弹性IP权限,从源头防止操作发生。其次,利用AWS Config的托管或自定义规则,可以实时检查带有生产标签的实例是否关联了弹性IP,符合需求中的监控与告警要求。选项C采用定时Lambda而非实时监控,可能遗漏及时检测。选项D的IAM角色与EC2实例权限无关,而选项A的Athena查询需手动或额外调度,效率较低。选项B同时覆盖了权限控制与实时监控,符合题干的两个核心需求。