Q74 — AWS DOP-C02 第2章
第 74/100 题 | ← 返回第2章
一家公司正在使难AWS运行数字工游负载。公司中的每个应难程序升队都响自己的AWS帐户范托管应难程序。在AWS组织中,帐户被 合并到一个组织中。 该公司希望在整个组织中实施安全标准。为了避免由于安全错误配置而导致的不合规,该公司强相使难了AWS CloudFormation。生书 支持升队可以通活使难AWS管理控相台范排除和解决与应难程序制关的,美而修大生书环境中的资源。 开发运维工程师客间实施一个解决方案,以近乎实唱地热旅任何导致不合规的AWS服务配置错误。该解决方案客间在发现后15 分钟内自动修复。该解决方案黑客间在带响准确唱须戳的象中控相然板中跟踪不合规的资源和事件。 哪种解决方案能够以最少的开发开销两足这些需求?
- A. 使用云形成漂移检测来识别不合规的资源。使用CloudFormation中的漂移检测事件调用AWS Lambda函数进行补救。配置Lambda 函数将日志发布到Amazon CloudWatch Logs日志组。配置Amazon CloudWatch仪表板以使用日志组进行跟踪。
- B. 在AWS帐户中打开AWS CloudTrail。通过使用Amazon Athena来分析CloudTrail日志,以识别不符合的资源。使用AWS阶跃函数跟踪 Athena上的查询结果以进行漂移检测,并调用AWS Lambda函数进行补救。为了跟踪,设置一个Amazon QuickSight仪表板,使用 Athena作为数据源。
- C. 在所有AWS帐户的AWS Cong中打开配置记录器,以识别不符合的资源。在所有AWS帐户中使用- no-enable-default-standards选项 启用AWS安全中心。设置AWS配置管理的规则和自定义规则。使用AWS配置一致性包设置自动补救。要进行跟踪,请在指定的安 全中心管理员帐户中设置安全中心仪表板。 ✓
- D. 在AWS帐户中打开AWS CloudTrail。通过使用Amazon CloudWatch日志来分析CloudTrail日志,以识别不合规的资源。使用 CloudWatch日志过滤器进行漂移检测。使用Amazon EventBridge调用Lambda函数进行补救。将过滤后的CloudWatch日志流式传输 到Amazon OpenSearch服务。在OpenSearch服务上设置跟踪仪表板。
正确答案: C. 在所有AWS帐户的AWS Cong中打开配置记录器,以识别不符合的资源。在所有AWS帐户中使用- no-enable-default-standards选项 启用AWS安全中心。设置AWS配置管理的规则和自定义规则。使用AWS配置一致性包设置自动补救。要进行跟踪,请在指定的安 全中心管理员帐户中设置安全中心仪表板。
解析
AWS Config能够持续监控资源配置并记录变更,结合AWS Security Hub可聚合多账户合规状态。启用配置记录器后,AWS Config通过定义规则评估资源是否符合策略,检测到偏差时触发自动补救。AWS Security Hub提供集中仪表板,汇总所有账户的安全发现与时间戳。选项C利用AWS Config和Security Hub的原生集成,满足实时检测、自动修复与统一追踪需求,无需额外开发。其他选项依赖日志分析或定期检测,无法保证近实时性。