Q38 — AWS SAP-C02 第1章
第 38/75 题 | ← 返回第1章
Q113. 一家公司正在 AWS 云中运行应用程序。公司的安全团队必须批准所有新 IAM 用户的创建。当创建新 IAM 用户时,必须自动移除该用户的所有访问权限。然后安全团队必须收到通知以批准该用户。公司在 AWS 账户中有一个多区域 AWS CloudTrail 跟踪。哪些步骤的组合将满足这些要求?(选择三项。)
- A. 创建 Amazon EventBridge 规则。定义一个 detail-type 值设为 AWS API Call via CloudTrail 且 eventName 为 CreateUser 的模式。 ✓
- B. 配置 CloudTrail 将 CreateUser 事件的通知发送到 Amazon Simple Notification Service (Amazon SNS) 主题。
- C. 调用在 Amazon Elastic Container Service (Amazon ECS) 中使用 AWS Fargate 技术运行的容器来移除访问权限。
- D. 调用 AWS Step Functions 状态机来移除访问权限。 ✓
- E. 使用 Amazon Simple Notification Service (Amazon SNS) 通知安全团队。 ✓
- F. 使用 Amazon Pinpoint 通知安全团队。
正确答案: A. 创建 Amazon EventBridge 规则。定义一个 detail-type 值设为 AWS API Call via CloudTrail 且 eventName 为 CreateUser 的模式。, D. 调用 AWS Step Functions 状态机来移除访问权限。, E. 使用 Amazon Simple Notification Service (Amazon SNS) 通知安全团队。
解析
为在创建 IAM 用户时自动移除访问权限并通知安全团队,推荐的步骤组合是: A. 创建 Amazon EventBridge 规则。定义一个 detail-type 值设为 AWS API Call via CloudTrail 且 eventName 为 CreateUser 的模式。 D. 调用 AWS Step Functions 状态机来移除访问权限。 E. 使用 Amazon Simple Notification Service (Amazon SNS) 通知安全团队。 说明: EventBridge 可以捕获 CloudTrail 中的 CreateUser API 调用事件。Step Functions 可以编排移除用户访问权限的工作流。SNS 可以向安全团队发送通知。