Q38 — AWS SAP-C02 第1章

第 38/75 题 | ← 返回第1章

Q113. 一家公司正在 AWS 云中运行应用程序。公司的安全团队必须批准所有新 IAM 用户的创建。当创建新 IAM 用户时,必须自动移除该用户的所有访问权限。然后安全团队必须收到通知以批准该用户。公司在 AWS 账户中有一个多区域 AWS CloudTrail 跟踪。哪些步骤的组合将满足这些要求?(选择三项。)

正确答案: A. 创建 Amazon EventBridge 规则。定义一个 detail-type 值设为 AWS API Call via CloudTrail 且 eventName 为 CreateUser 的模式。, D. 调用 AWS Step Functions 状态机来移除访问权限。, E. 使用 Amazon Simple Notification Service (Amazon SNS) 通知安全团队。

解析

为在创建 IAM 用户时自动移除访问权限并通知安全团队,推荐的步骤组合是: A. 创建 Amazon EventBridge 规则。定义一个 detail-type 值设为 AWS API Call via CloudTrail 且 eventName 为 CreateUser 的模式。 D. 调用 AWS Step Functions 状态机来移除访问权限。 E. 使用 Amazon Simple Notification Service (Amazon SNS) 通知安全团队。 说明: EventBridge 可以捕获 CloudTrail 中的 CreateUser API 调用事件。Step Functions 可以编排移除用户访问权限的工作流。SNS 可以向安全团队发送通知。