Q5 — AWS DOP-C02 第3章

第 5/100 题 | ← 返回第3章

一家公司的应难程序开发升队使难基于Linux的Amazon EC2实暗游为堡垒主育。对堡垒主育的笔归SSH访问被限相到特定的IP地址, 如制关安全组中职定批的。如得安全组规则被修大为允许范自任何IP地址的SSH访问,公司的安全升队希望收到通知。 一个DevOps工程师应该怎么做状能两足这个要求?

正确答案: C. 通过使用restricted-ssh managed规则来创建AWS配置规则,以检查安全组是否禁止无限制的传入ssh流量。将自动修复配置为向 Amazon简单通知服务(Amazon SNS)主题发布消息。

解析

AWS服务中AWS Config用于评估资源是否符合规则,其提供的restricted-ssh托管规则专门用于检测安全组是否存在允许无限制SSH流量的入站规则。当安全组规则被修改为允许来自任何IP的SSH时,AWS Config规则将评估资源状态为NON_COMPLIANT。配置自动修复动作可将此状态变化发送至SNS主题,实现实时通知安全团队。选项A基于CloudTrail事件需要额外过滤具体修改内容,选项B依赖威胁检测而非配置监控,选项D聚焦漏洞而非规则变更。正确答案C直接利用AWS Config的合规性检查机制,符合题目要求。