Q34 — AWS DOP-C02 第3章
第 34/100 题 | ← 返回第3章
一家医疗保月服务公司担心难于监控患者月康才况的应难程序的软件许可成本不断上团。该公司希望创建一个审计呢程,以确保应 难程序只在Amazon EC2专难主育上运行。开发运维工程师客间创建一个工游呢范审核应难程序,以确保合规性。 工程师应该采取什么步骤以最少的管理开销范两足这一要求?
- A. 使用AWS系统管理器配置符合性。使用对put-compliance-items API操作的调用,根据主机放置配置扫描和构建不符合的EC2实例 的数据库。使用Amazon DynamoDB表来存储这些实例id,以便快速访问。通过调用list-compliance-summaries API操作,通过 Systems Manager生成报告。
- B. 使用在EC2实例上运行的定制Java代码。根据要检查的实例数量,为实例设置EC2自动缩放。将不符合的EC2实例id列表发送到 亚马逊SQS队列。设置另一个worker实例来处理来自SQS队列的实例id,并将它们写入Amazon DynamoDUse使用AWS Lambda函数来 终止从队列中获取的不符合的实例id,并将它们发送到Amazon SNS电子邮件主题进行分发。
- C. 使用AWS配置。通过在该地区的所有Amazon EC2资源上启用配置记录,确定要审计的所有EC2实例。通过使用“配置-规则-更改- 触发”蓝图,创建一个触发AWS Lambda功能的自定义AWS配置规则。修改Lambda evaluateCompliance()函数以验证主机放置,如果 实例未在EC2专用主机上运行,则返回NON_COMPLIANT结果。使用AWS配置报告解决不符合的实例。 ✓
- D. 使用AWS CloudTrail。通过分析对EC2 RunCommand API操作的所有调用,确定要审计的所有EC2实例。调用AWS Lambda函数来分 析实例的主机位置。将不符合的资源的EC2实例ID存储在Amazon RDS for MySQL DB实例中。通过查询RDS实例并将查询结果导出到 CSV文本文件来生成报告。
正确答案: C. 使用AWS配置。通过在该地区的所有Amazon EC2资源上启用配置记录,确定要审计的所有EC2实例。通过使用“配置-规则-更改- 触发”蓝图,创建一个触发AWS Lambda功能的自定义AWS配置规则。修改Lambda evaluateCompliance()函数以验证主机放置,如果 实例未在EC2专用主机上运行,则返回NON_COMPLIANT结果。使用AWS配置报告解决不符合的实例。
解析
AWS Config服务持续监控EC2资源配置,通过自定义规则自动触发Lambda函数验证实例是否部署在专用主机。非合规实例会被标记并由AWS Config生成报告,无需额外基础设施。选项A依赖手动API调用和数据库管理,增加复杂度。选项B涉及自定义代码和多服务集成,维护成本高。选项D基于CloudTrail日志分析,效率低下且处理流程繁琐。AWS Config内置的合规性检查机制符合最小管理开销需求。