Q74 — AWS DOP-C02 第2章

第 74/100 题 | ← 返回第2章

一家公司正在使难AWS运行数字工游负载。公司中的每个应难程序升队都响自己的AWS帐户范托管应难程序。在AWS组织中,帐户被 合并到一个组织中。 该公司希望在整个组织中实施安全标准。为了避免由于安全错误配置而导致的不合规,该公司强相使难了AWS CloudFormation。生书 支持升队可以通活使难AWS管理控相台范排除和解决与应难程序制关的,美而修大生书环境中的资源。 开发运维工程师客间实施一个解决方案,以近乎实唱地热旅任何导致不合规的AWS服务配置错误。该解决方案客间在发现后15 分钟内自动修复。该解决方案黑客间在带响准确唱须戳的象中控相然板中跟踪不合规的资源和事件。 哪种解决方案能够以最少的开发开销两足这些需求?

正确答案: C. 在所有AWS帐户的AWS Con􀂬g中打开配置记录器,以识别不符合的资源。在所有AWS帐户中使用- no-enable-default-standards选项 启用AWS安全中心。设置AWS配置管理的规则和自定义规则。使用AWS配置一致性包设置自动补救。要进行跟踪,请在指定的安 全中心管理员帐户中设置安全中心仪表板。

解析

AWS Config能够持续监控资源配置并记录变更,结合AWS Security Hub可聚合多账户合规状态。启用配置记录器后,AWS Config通过定义规则评估资源是否符合策略,检测到偏差时触发自动补救。AWS Security Hub提供集中仪表板,汇总所有账户的安全发现与时间戳。选项C利用AWS Config和Security Hub的原生集成,满足实时检测、自动修复与统一追踪需求,无需额外开发。其他选项依赖日志分析或定期检测,无法保证近实时性。