Q14 — AWS SCS-C02 第1章

第 14/100 题 | ← 返回第1章

一家公司正在使用Amazon Elastic Container Service(Amazon ECS)在AWS上运行其基于容器的应用程序。该公司需要确保容器镜像不包含严重漏洞。该公司还必须确保只有特定的IAM角色和特定的AWS账户可以访问容器镜像。

正确答案: C. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至Amazon Elastic Container Registry(Amazon ECR)存储库,并启用推送扫描功能。使用CI/CD流水线将镜像部署至不同AWS账户。使用存储库策略和基于身份的策略限制可访问镜像的IAM主体和账户。

解析

题干涉及确保容器镜像无严重漏洞并限制访问权限。Amazon ECR提供镜像推送时自动扫描漏洞的功能,符合漏洞检测需求。访问控制需结合仓库策略(跨账户授权)和身份策略(IAM角色权限)。选项C正确使用ECR的扫描配置,并通过仓库策略(resource policy)与身份策略(identity-based policy)共同限制访问,覆盖跨账户及特定IAM主体。选项A未提及仓库策略,可能导致跨账户权限不足;选项B的自建仓库维护成本高;选项D的CodeArtifact并非专用容器注册表,集成度较低。参考AWS文档中ECR的镜像扫描、跨账户访问最佳实践。