Q62 — AWS SAA-C03 第4章

第 62/105 题 | ← 返回第4章

Q257.在上周的生产部署期间,一位 IAM 用户对其公司账户中的 AWS 资源进行了多项配置更改.一位解决方案架构师了解到,一些安全组规则未按需要配置.解决方案架构师想要确认哪个 IAM 用户负责进行更改.解决方案架构师应该使用哪种服务来查找所需信息?

正确答案: C. AWS CloudTrail

解析

要找到对AWS资源进行配置更改的IAM用户,并确认哪些安全组规则没有按预期配置,解决方案架构师应该使用AWS CloudTrail。因此,选项C是正确答案。 选项A建议使用Amazon GuardDuty,这是一种威胁检测服务,可以持续监控AWS账户中的恶意活动和未经授权的行为。虽然GuardDuty可以帮助检测未经授权的更改,但它不提供有关谁进行了更改的详细信息。 选项B建议使用Amazon Inspector,这是一种自动安全评估服务,有助于提高部署在EC2实例上的应用程序的安全性和遵从性。虽然Inspector可以提供对应用程序安全状态的洞察,但它不提供有关谁进行了配置更改的信息。 选项D建议使用AWS Config,该服务提供AWS资源及其配置随时间变化的详细清单。虽然Config可以提供有关资源配置的信息,但它可能不提供有关谁进行了更改的详细信息。 通过使用AWS CloudTrail,解决方案架构师可以查看AWS API调用的审计日志,以确定哪个IAM用户进行了配置更改以及采取了哪些操作。CloudTrail提供了在AWS帐户中进行的所有API调用的记录,包括进行调用的用户的身份、调用的时间以及传递给API的参数。通过在CloudTrail日志中搜索相关的时间框架和API调用,解决方案架构师可以识别进行更改的IAM用户,并在需要时进行进一步调查。此解决方案满足问题的要求。