Q87 — AWS DOP-C02 第2章

第 87/100 题 | ← 返回第2章

一家公司在AWS Organizations的一个组织中响多个账户。如得组织中的任何账户关闭了AmazonS3存储桶上的“阻 止公铁访问“功能,公司的SecOps 升队需要收到Amazon Simple Notification Service(Amazon SNS)通知。DevOps工程师客间在不影有 任何AWS账户操游的情况下实施此更大。实施客间确保组织中的个人成员帐户岛法关闭通知。 哪种解决方案可以两足这些要求?

正确答案: A. 指定一个账户作为委托的Amazon GuardDuty管理员账户。为整个组织的所有账户启用GuardDuty。在GuardDuty管理员账户 中,创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在同一账户中,创建一个Amazon EventBridge规则,该规则将事件模式用于GuardDuty 结果和SNS主题的目标。

解析

选项A允许采用与B不同的集中管理方法。A利用Amazon GuardDuty,它已经与Amazon SNS集成并提供检测AWS环境中威胁的能力。另一方面,选项B需要使用CloudFormation 为CloudTrail部署自定义规则,这可能更难以管理和监控。