Q53 — AWS SAA-C03 第5章
第 53/65 题 | ← 返回第5章
Q353.一家使用 AWS 的公司发现一名前员工启动了大型 Amazon EC2 实例来挖掘加密货币.该公司希望阻止启动新的大型实例.该公司需要一个在实例用于挖矿活动时发送通知的解决方案.该解决方案还需要通过使用 Microsoft Active Directory 作为身份提供商 (IdP) 来集中管理 IAM 用户.哪种解决方案可以满足这些要求?
- A. 使用 Amazon GuardDuty 和 Amazon EventBridge 检测挖矿活动并提供通知.实施 AWS Organizations 和拒绝大型实例的服务控制策略 (SCP).使用 AWS Directory Service for Microsoft Active Directory 作为 IdP 实施单点登录 (SSO) 来管理用户 ✓
- B. 使用 Amazon Macie 和 Amazon EventBridge 检测挖矿活动并提供通知.实施 AWS Organizations 和拒绝大型实例的服务控制策略 (SCP).使用 AWS Directory Service for Microsoft Active Directory 作为 IdP 实施单点登录 (SSO) 来管理用户
- C. 使用 Amazon GuardDuty 和 Amazon EventBridge 检测挖矿活动并提供通知.实施 AWS Organizations 和拒绝大型实例的服务控制策略 (SCP).使用 AWS Directory Service for Microsoft Active Directory 实施 Amazon Cognito 作为 IdP 来管理用户
- D. 使用 Amazon Macie 和 Amazon EventBridge 检测挖矿活动并提供通知.实施 AWS Organizations 和拒绝大型实例的服务控制策略 (SCP).使用 AWS Directory Service for Microsoft Active Directory 实施 Amazon Cognito 作为 IdP 来管理用户
正确答案: A. 使用 Amazon GuardDuty 和 Amazon EventBridge 检测挖矿活动并提供通知.实施 AWS Organizations 和拒绝大型实例的服务控制策略 (SCP).使用 AWS Directory Service for Microsoft Active Directory 作为 IdP 实施单点登录 (SSO) 来管理用户
解析
对于我之前的回复中的混乱表示歉意.再次查看选项后,满足给定要求的正确解决方案确实是选项 A:使用 Amazon GuardDuty 和 Amazon EventBridge 检测挖矿活动并提供通知.实施 AWS Organizations 和拒绝大型实例的服务控制策略 (SCP).使用 AWS Directory Service for Microsoft Active Directory 作为 IdP 实施单点登录 (SSO) 来管理用户.下面详细解释了为什么选项 A 是正确的选择:Amazon GuardDuty 是一项威胁检测服务,可持续监控 AWS 账户是否存在恶意活动.通过配置 GuardDuty 来检测挖掘活动,该公司可以识别用于挖掘加密货币的实例.Amazon EventBridge 可用于根据 GuardDuty 检测到的事件设置事件驱动的通知.这确保了公司在实例用于挖矿活动时及时收到通知.实施 AWS Organizations 可以集中管理公司组织内的多个 AWS 账户.通过在组织级别应用服务控制策略(SCP),公司可以对启动大型实例实施限制,有效防止启动用于挖掘加密货币的新实例.要使用 Microsoft Active Directory 作为身份提供商 (IdP) 集中管理 IAM 用户,公司可以使用 AWS Directory Service for Microsoft Active Directory 实施单点登录 (SSO).这种集成利用现有的 Active Directory 基础架构,实现无缝身份验证和用户管理.选项 B 不正确,因为它建议使用 Amazon Macie 而不是 Amazon GuardDuty,后者并不是专门为检测挖矿活动而设计的.选项 C 和选项 D 不正确,因为它们建议使用 Amazon Cognito 而不是 AWS Directory Service for Microsoft Active Directory 作为 IdP,这不是与 Microsoft Active Directory 集成的推荐方法.