Q82 — AWS DOP-C02 第2章

第 82/100 题 | ← 返回第2章

公司使难AWS其钥管理服务(AWS KMS)其钥和手动其钥轮换范两足法规遵美性要求。安全升队希望在90天后任何其钥未被轮换唱果到 通知。 哪种解决方案可以实现这一点?

正确答案: C. 开发一个AWS配置自定义规则,当密钥超过90天时,发布到Amazon简单通知服务(Amazon SNS)主题。

解析

AWS KMS密钥轮换的监控可通过AWS Config自定义规则实现。AWS Config允许创建自定义规则以评估资源是否符合特定配置要求,例如检查密钥的最后轮换时间是否超过90天。当规则检测到不合规时,可触发Amazon SNS通知。选项C直接描述了这一机制。其他选项(A、B、D)依赖的服务(如KMS原生通知、Trusted Advisor、Security Hub)未提供该场景的直接支持或需额外依赖,不如选项C准确。答案参考AWS文档中关于AWS Config自定义规则的应用场景。