Q54 — AWS SAP-C02 第3章
第 54/75 题 | ← 返回第3章
Q279. 一家公司已在AWS上设置了全部基础设施。公司使用Amazon EC2实例托管其电商网站,并使用Amazon S3存储静态数据。公司有三名工程师通过一个AWS账户处理云管理和开发。偶尔,一名工程师会更改另一名工程师的EC2安全组配置,导致环境中出现不合规问题。 解决方案架构师必须设置一个系统来跟踪工程师所做的更改。当工程师对EC2实例的安全设置进行不合规更改时,系统必须发送警报。 解决方案架构师满足这些要求的最快方式是什么?
- A. 为公司设置AWS Organizations。应用SCP来管理和跟踪对AWS账户所做的不合规安全组更改。
- B. 启用AWS CloudTrail来捕获EC2安全组的更改。启用Amazon CloudWatch规则在检测到不合规安全设置时提供警报。
- C. 在AWS账户上启用SCP,在对环境进行不合规安全组更改时提供警报。
- D. 在EC2安全组上启用AWS Config来跟踪任何不合规更改。通过Amazon Simple Notification Service (Amazon SNS)主题将更改作为警报发送。 ✓
正确答案: D. 在EC2安全组上启用AWS Config来跟踪任何不合规更改。通过Amazon Simple Notification Service (Amazon SNS)主题将更改作为警报发送。
解析
选项D是最快满足要求的方式。在EC2安全组上启用AWS Config来跟踪工程师所做的任何不合规更改。当检测到不合规更改时,AWS Config将通过Amazon SNS主题发送警报。这种方法无需额外设置即可快速实施。 选项A设置AWS Organizations和应用SCP需要额外的设置时间。选项B启用CloudTrail和CloudWatch规则设置时间可能比启用AWS Config更长。选项C的SCP仅控制AWS账户内可以访问的资源,不跟踪对资源所做的更改。