Q51 — AWS SAP-C02 第2章
第 51/75 题 | ← 返回第2章
Q201. 在审计期间,安全团队发现开发团队将 IAM 用户秘密访问密钥放入代码中,然后提交到 AWS CodeCommit 代码库。安全团队希望自动发现和修复此安全漏洞的实例。 哪种解决方案能确保凭证得到自动适当保护?
- A. 使用 AWS Systems Manager Run Command 每晚运行脚本,在开发实例上搜索凭证。如果找到,使用 AWS Secrets Manager 轮换凭证
- B. 使用计划的 AWS Lambda 函数从 CodeCommit 下载并扫描应用程序代码。如果找到凭证,生成新凭证并将其存储在 AWS KMS 中
- C. 配置 Amazon Macie 扫描 CodeCommit 代码库中的凭证。如果找到凭证,触发 AWS Lambda 函数禁用凭证并通知用户
- D. 配置 CodeCommit 触发器调用 AWS Lambda 函数扫描新代码提交中的凭证。如果找到凭证,在 AWS IAM 中禁用它们并通知用户 ✓
正确答案: D. 配置 CodeCommit 触发器调用 AWS Lambda 函数扫描新代码提交中的凭证。如果找到凭证,在 AWS IAM 中禁用它们并通知用户
解析
选项 A 建议每晚使用 AWS Systems Manager Run Command 运行脚本搜索凭证。虽然此解决方案可以修复安全漏洞实例,但不能自动确保凭证得到适当保护。 选项 B 建议使用计划的 AWS Lambda 函数下载并扫描应用程序代码。虽然可以检测和修复安全漏洞实例,但可能不如配置 CodeCommit 触发器自动检测新代码提交有效。 选项 C 建议配置 Amazon Macie 扫描 CodeCommit 代码库中的凭证。虽然可以帮助检测凭证,但不包括在 AWS IAM 中禁用凭证并通知用户的自动修复步骤。 因此,选项 D 是自动确保凭证得到适当保护的最佳解决方案。通过配置 CodeCommit 触发器调用 AWS Lambda 函数扫描新代码提交中的凭证,组织可以自动检测并在 AWS IAM 中禁用凭证,同时通知用户该问题。