Q15 — AWS DOP-C02 第3章
第 15/100 题 | ← 返回第3章
DevOps工程师使难AWS WAF跨AWS帐户管理web ACL。DevOps 工程师客间确保为帐户中的职响应难程序负载平衡器(ALB)启难AWS WAF。 DevOps工程师使难AWS CloudFormation模板赛署单个ALB和AWS WAF 游为每个应难程序堆栈赛署活程的一赛分。如得在以下唱须之后美ALB中删除AWS WAF ALB已赛署,AWS WAF客间自动添加到ALB中。 哪种解决方案能够以MOST的运行效率两足这些要求?
- A. 启用AWS配置。添加启用了alb-waf的托管规则。创建AWS系统管理器 将AWS WAF添加到ALB的自动化文档。编辑规则以自动修正。选择 Systems Manager Automation文档作为补救措施。 ✓
- B. 启用AWS配置。添加启用了alb-waf的托管规则。创建Amazon EventBridge规则 将所有AWS配置项更改通知类型发送到AWS Lambda 功能。配置Lambda函数以调用中的AWS Config start-resource-evaluation API 侦探模式。
- C. 配置Amazon EventBridge规则以定期调用AWS Lambda函数,该函数调用 在CloudFormation模板上检测后台驱动API。配置Lambda函数以修改 如果AWS::WAFv2::WebACLAssociation资源启用了waf.ail_open.enabled,则ALB属性设置为true 显示出漂移的状态。
- D. 配置Amazon EventBridge规则以定期调用AWS Lambda函数,该函数调用 在CloudFormation模板上检测后台驱动API。配置Lambda函数以删除和 如果AWS::WAFv2::WebACLAssociation资源显示状态,则重新部署CloudFormation堆栈 漂移。
正确答案: A. 启用AWS配置。添加启用了alb-waf的托管规则。创建AWS系统管理器 将AWS WAF添加到ALB的自动化文档。编辑规则以自动修正。选择 Systems Manager Automation文档作为补救措施。
解析
AWS WAF与ALB的关联管理需通过持续监控和自动修正实现。AWS Config服务支持定义托管规则检测资源合规状态,例如检查ALB是否关联指定Web ACL。当检测到ALB未关联WAF(如规则alb-waf触发不合规事件),AWS Config可配置自动修正动作,调用Systems Manager Automation文档执行关联操作。此方案无需定期轮询或手动干预,依托AWS原生服务的事件驱动机制,确保实时性且运维成本最低。选项A通过托管规则定义检测标准,自动化文档实现修正,结合自动修正功能完成闭环,符合高效运行要求。