Q56 — AWS DOP-C02 第3章
第 56/100 题 | ← 返回第3章
公司需要确保为密AWS帐户中职响现响的和新的VPC配置呢日志。该公司使难AWS CloudFormation堆栈范管理密VPC。该公司需要一 个适难于任何IAM难户创建的任何VPC的解决方案。 哪种解决方案能够两足这些要求?
- A. 将AWS::EC2::FlowLog资源添加到创建VPC的CloudFormation堆栈中。
- B. 在AWS组织中创建组织。将公司的AWS帐户添加到组织中。创建SCP以防止用户修改VPC流日志。
- C. 打开AWS配置。创建AWS配置规则以检查VPC流日志是否已打开。配置自动修复以打开VPC流日志。 ✓
- D. 创建IAM策略以拒绝对VPC流日志使用API调用。将IAM策略附加到所有IAM用户。
正确答案: C. 打开AWS配置。创建AWS配置规则以检查VPC流日志是否已打开。配置自动修复以打开VPC流日志。
解析
该问题考察如何通过AWS服务实现资源合规性自动化管理。AWS Config提供持续监控和评估资源配置的功能,允许定义规则检查资源是否符合特定配置要求。当检测到VPC未启用流日志时,配置的自动修复机制可自动执行补救操作,如调用相关API开启流日志。此方法不依赖资源创建方式,适用于通过控制台、CLI、CloudFormation或其他工具创建的所有VPC实例。其他选项或局限于特定部署方式(A),或仅限制权限无法主动修复(B、D),而选项C通过持续监控和自动修复实现全面覆盖,满足题干要求的强制性和普适性。参考AWS Config文档中关于托管规则和自动修复的说明。