Q14 — AWS SCS-C02 第1章
第 14/100 题 | ← 返回第1章
一家公司正在使用Amazon Elastic Container Service(Amazon ECS)在AWS上运行其基于容器的应用程序。该公司需要确保容器镜像不包含严重漏洞。该公司还必须确保只有特定的IAM角色和特定的AWS账户可以访问容器镜像。
- A. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至Amazon Elastic Container Registry(Amazon ECR)存储库,并启用推送扫描功能。使用CI/CD流水线将镜像部署至不同AWS账户。使用基于身份的策略限制可访问镜像的IAM主体。
- B. 从公共容器注册表拉取镜像。在集中式AWS账户的Amazon EC2实例上托管私有容器注册表。在运行Amazon ECS的EC2实例上部署基于主机的容器扫描工具。通过HTTPS上的基本身份验证限制对容器镜像的访问。
- C. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至Amazon Elastic Container Registry(Amazon ECR)存储库,并启用推送扫描功能。使用CI/CD流水线将镜像部署至不同AWS账户。使用存储库策略和基于身份的策略限制可访问镜像的IAM主体和账户。 ✓
- D. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至AWS CodeArtifact存储库。使用CI/CD流水线将镜像部署至不同AWS账户。使用存储库策略和基于身份的策略限制可访问镜像的IAM主体和账户。
正确答案: C. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至Amazon Elastic Container Registry(Amazon ECR)存储库,并启用推送扫描功能。使用CI/CD流水线将镜像部署至不同AWS账户。使用存储库策略和基于身份的策略限制可访问镜像的IAM主体和账户。
解析
题干涉及确保容器镜像无严重漏洞并限制访问权限。Amazon ECR提供镜像推送时自动扫描漏洞的功能,符合漏洞检测需求。访问控制需结合仓库策略(跨账户授权)和身份策略(IAM角色权限)。选项C正确使用ECR的扫描配置,并通过仓库策略(resource policy)与身份策略(identity-based policy)共同限制访问,覆盖跨账户及特定IAM主体。选项A未提及仓库策略,可能导致跨账户权限不足;选项B的自建仓库维护成本高;选项D的CodeArtifact并非专用容器注册表,集成度较低。参考AWS文档中ECR的镜像扫描、跨账户访问最佳实践。