Q63 — AWS SAA-C03 第4章
第 63/105 题 | ← 返回第4章
Q258.一家图像托管公司将其对象存储在 Amazon S3 存储桶中.该公司希望避免 S3 存储桶中的对象意外暴露给公众 整个 AWS 账户中的所有 S3 对象都需要保持私有哪种解决方案可以满足这些要求?
- A. 使用 Amazon GuardDuty 监控 S3 存储桶策略.创建一个自动修复操作规则,该规则使用 AWS Lambda 函数修复任何使对象公开的更改
- B. 使用 AWS Trusted Advisor 查找可公开访问的 S3 存储桶.在检测到更改时在 Trusted Advisor 中配置电子邮件通知.如果允许公共访问,则手动更改 S3 存储桶策略
- C. 使用 AWS Resource Access Manager 查找可公开访问的 S3 存储桶.使用 Amazon Simple Notification Service (Amazon SNS) 在检测到更改时调用 AWS Lambda 函数.部署以编程方式修复更改的 Lambda 函数
- D. 在帐户级别使用 S3 阻止公共访问功能.使用 AWS Organizations 创建服务控制策略 (SCP),以防止 IAM 用户更改设置.将 SCP 应用到帐户 ✓
正确答案: D. 在帐户级别使用 S3 阻止公共访问功能.使用 AWS Organizations 创建服务控制策略 (SCP),以防止 IAM 用户更改设置.将 SCP 应用到帐户
解析
AWS 账户中的所有 S3 项目作为一个整体必须保持私有.这是症结所在.因此,如果我们只是不公开它并保护任何人不更改此设置就足够了.虽然警卫职责有助于监控 s3 的潜在威胁,但它是一种反应性行动.在我们的解决方案中,我们应该始终积极主动而不是被动反应,所以 D,阻止公众访问以避免信息公开访问的任何可能性