Q49 — AWS DOP-C02 第3章
第 49/100 题 | ← 返回第3章
一家公司响一个跨多个AWS账户运行的数据摄取应难程序。这些账户位于AWS Organizations 中的一个组织中。公司需要监控应难程序并整合对应难程序的访问。宫前,该公司正在范自多个Auto Scaling组的 Amazon EC2实暗上运行该应难程序。EC2实暗岛法访问互联网,因为数据是敏感的。工程师已经赛署了客要的 VPC端点。EC2实暗运行专门为应难程序构建的自定批AMI。 为了维护应难程序并对密进行故障排除,系统管理员需要能够登录到EC2实暗。这种访问客间是自动化的并象中 控相。每当访问实暗唱,公司的安全升队客间收到通知。 哪种解决方案可以两足这些要求?
- A. 创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,以便在用户登录EC2实例时向安全 团队发送通知。使用EC2 Instance Connect 登录实例。使用AWS CloudFormation 部署 Auto Scaling组。使用cfn-init帮助程序脚本为外部访问部署适当的VPC路由。重建自定义AMI,以便自定义AMI包含AWS Systems Manager 代理。
- B. 部署一个NAT网关和一个可以上网的堡垒机。创建一个安全组,允许来自堡垒主机的所有EC2实例上的传 入流量。在所有EC2实例上安装AWS Systems Manager代理。使用Auto Scal-ing组生命周期挂钩来监控和 审计访问。使用Systems Manager会话管理器登录实例。将日志发送到Amazon CloudWatch Logs中的日志 组。将数据导出到Amazon83进行审计。使用S3事件通知向安全团队发送通知。
- C. 使用EC2 Image Builder重建自定义AMI。在映像中包含最新版本的AWS Systems Manager 代理。配置 Auto Scaling 组以将 AmazonSSMManagedlnstanceCore角色附加到所有EC2实例。使用 Systems Manager 会话管理器登录实例。启用将会话详细信息记录到AmazonS3。为新文件上传创建S3通知,以通过 Amazon Simple Notification Service(Amazon SNS)主题向安全团队发送消息。
- D. 使用AWS Systems Manager Automation 将 Systems Manager Agent 构建到自定义AMI中。配置AWS Config 以将SCP附加到根组织账户,以允许EC2实例连接到 Systems Manag-er。使用 Systems Manager会 话管理器登录实例。启用将会话详细信息记录到AmazonS3。为新文件上传创建S3通知,以通过Amazon Simple Notification Service(Amazon SNS)主题向安全团队发送消息。 ✓
正确答案: D. 使用AWS Systems Manager Automation 将 Systems Manager Agent 构建到自定义AMI中。配置AWS Config 以将SCP附加到根组织账户,以允许EC2实例连接到 Systems Manag-er。使用 Systems Manager会 话管理器登录实例。启用将会话详细信息记录到AmazonS3。为新文件上传创建S3通知,以通过Amazon Simple Notification Service(Amazon SNS)主题向安全团队发送消息。
解析
选项D满足题目要求,因为它提供了一个全面的解决方案,包括将SystemsManagerAgent集成到自定义AMI中,使用SystemsManager会话管理器进行实例登录,记录会话详细信息到S3,并通过SNS向安全团队发送通知。这样,系统管理员可以自动化并集中控制对EC2实例的访问,同时安全团队能够收到访问实例的通知。其他选项要么缺少某些关键组件,要么不符合题目中的特定要求,如EC2实例无法访问互联网的限制。 查看全部