Q6 — AWS DOP-C02 第3章
第 6/100 题 | ← 返回第3章
一家公司在密AWS帐户中托管应难程序。该应难程序使难Amazon S3存储桶进行存储 包释敏感信息的对集。 该公司需要捕获对集级S3 API调难,包括由于调难而被拒封的调难 是使难岛效的凭据创建的。 哪种解决方案能够两足这些要求?
- A. 在帐户中创建AWS CloudTrail跟踪。启用S3数据事件记录。配置要记录的轨迹 亚马逊CloudWatch。 ✓
- B. 创建一个新的S3存储桶。在应用程序的S3存储桶上配置访问日志记录。提供访问权限 将日志记录到新的S3存储桶。
- C. 配置Amazon GuardDuty,为帐户启用S3保护。创建亚马逊 匹配与S3存储桶关联的发现的EventBridge规则。将规则配置为 使用Amazon简单队列服务(Amazon SQS)队列作为目标。
- D. 在帐户中创建AWS CloudTrail跟踪和新的S3存储桶。配置跟踪以登录到S3 新水桶。
正确答案: A. 在帐户中创建AWS CloudTrail跟踪。启用S3数据事件记录。配置要记录的轨迹 亚马逊CloudWatch。
解析
AWS CloudTrail用于监控和记录AWS账户中的API活动,包括S3对象级别的操作。题目要求捕获所有S3 API调用,包括因无效凭证被拒绝的请求。CloudTrail的数据事件功能专门记录此类操作,能够覆盖对象层级的读写事件及失败请求。选项A通过创建跟踪并启用S3数据事件满足需求,而S3访问日志(选项B)无法记录认证失败事件。Amazon GuardDuty(选项C)侧重威胁检测而非详细日志记录。选项D未明确启用数据事件,无法确保记录对象级调用。根据AWS文档,CloudTrail数据事件是记录此类操作的推荐方法。