Q87 — AWS DOP-C02 第2章
第 87/100 题 | ← 返回第2章
一家公司在AWS Organizations的一个组织中响多个账户。如得组织中的任何账户关闭了AmazonS3存储桶上的“阻 止公铁访问“功能,公司的SecOps 升队需要收到Amazon Simple Notification Service(Amazon SNS)通知。DevOps工程师客间在不影有 任何AWS账户操游的情况下实施此更大。实施客间确保组织中的个人成员帐户岛法关闭通知。 哪种解决方案可以两足这些要求?
- A. 指定一个账户作为委托的Amazon GuardDuty管理员账户。为整个组织的所有账户启用GuardDuty。在GuardDuty管理员账户 中,创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在同一账户中,创建一个Amazon EventBridge规则,该规则将事件模式用于GuardDuty 结果和SNS主题的目标。 ✓
- B. 创建一个AWS CloudFormation模板,用于创建SNS主题并将SecOps团队的电子邮件地址订阅到SNS主题。在模板中,包含一个Amazon EventBridge 规则,该规则使用s3:PutBucketPublicAccessBlock的CloudTrail 活动的事件模式和SNS主题的目标。使用CloudFormation StackSets 将堆栈部署到组织中的每个帐户。
- C. 在整个组织中启用AWS Config。在委派管理员帐户中,创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在每个账户中部署使用s3-bucket-level-public-access-prohibited AWS Config 托管规则的一致性包,并使用AWS Systems Manager文档将事件发布到SNS主题以通知SecOps团队。
- D. 在整个组织中启用Amazon Inspector。在Amazon Inspector 委派管理员账户中,创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在同一账户中,创建一个Amazon EventBridge规则,该规则使用事件模式来公开S3存储桶的公共网络,并将事件发布到SNS主题以通知SecOps 团队。
正确答案: A. 指定一个账户作为委托的Amazon GuardDuty管理员账户。为整个组织的所有账户启用GuardDuty。在GuardDuty管理员账户 中,创建一个SNS主题。将SecOps团队的电子邮件地址订阅到SNS主题。在同一账户中,创建一个Amazon EventBridge规则,该规则将事件模式用于GuardDuty 结果和SNS主题的目标。
解析
选项A允许采用与B不同的集中管理方法。A利用Amazon GuardDuty,它已经与Amazon SNS集成并提供检测AWS环境中威胁的能力。另一方面,选项B需要使用CloudFormation 为CloudTrail部署自定义规则,这可能更难以管理和监控。