Q53 — AWS DOP-C02 第2章
第 53/100 题 | ← 返回第2章
一个安全升队担心开发人员可能名岛闻中将一个弹性IP地址附加到生书中的Amazon EC2实暗上。不允许任何开发人员将弹性IP地址 附加到实暗上。如得任何生书服务器在任何唱候都响弹性IP地址,则客间通知安全升队。 这项任务如何实现自动化?
- A. 使用Amazon Athena查询AWS CloudTrail日志,检查任何关联地址尝试。创建一个AWS Lambda函数来解除弹性IP地址与实例的关 联,并提醒安全团队。
- B. 将IAM策略附加到开发人员的IAM组,以拒绝关联地址权限。创建自定义AWS配置规则,检查弹性IP地址是否与任何标记为生产 的实例相关联,并向安全团队发出警报。 ✓
- C. 确保与开发人员关联的所有IAM组都没有关联地址权限。创建一个预定的AWS Lambda函数,以检查弹性IP地址是否与任何标记 为生产的实例相关联,如果一个实例有与之相关联的弹性IP地址,则向安全团队发出警报。
- D. 创建一个AWS配置规则,以检查所有生产实例是否具有包含拒绝关联地址权限的EC2 IAM角色。验证是否有与任何实例相关联的 弹性IP地址,如果某个实例有与之相关联的弹性IP地址,则向安全团队发出警报。
正确答案: B. 将IAM策略附加到开发人员的IAM组,以拒绝关联地址权限。创建自定义AWS配置规则,检查弹性IP地址是否与任何标记为生产 的实例相关联,并向安全团队发出警报。
解析
这道题主要涉及AWS权限管理和资源配置监控的组合应用。AWS官方文档提到,结合IAM策略限制特定操作,并通过AWS Config自定义规则持续监控资源状态是常见的安全实践。选项B中,首先通过IAM策略显式拒绝开发人员的关联弹性IP权限,从源头防止操作发生。其次,利用AWS Config的托管或自定义规则,可以实时检查带有生产标签的实例是否关联了弹性IP,符合需求中的监控与告警要求。选项C采用定时Lambda而非实时监控,可能遗漏及时检测。选项D的IAM角色与EC2实例权限无关,而选项A的Athena查询需手动或额外调度,效率较低。选项B同时覆盖了权限控制与实时监控,符合题干的两个核心需求。