Q18 — AWS SCS-C02 第1章
第 18/100 题 | ← 返回第1章
一家公司将在 Amazon EC2 实例上运行的应用程序用于存储机密客户数据。该公司必须限制对客户数据的访问。一名安全工程师需要安全地访问承载该应用程序的实例。根据公司策略,用户不得开放任何入站端口、维护堡垒主机或管理 EC2 实例的 SSH 密钥。该安全工程师希望监控、存储并访问所有会话活动日志。日志必须加密。 哪种解决方案可满足这些要求?
- A. 使用 AWS Control Tower 连接到 EC2 实例。为会话配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。
- B. 使用 AWS Security Hub 连接到 EC2 实例。为会话配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。
- C. 使用 AWS Systems Manager Session Manager 连接到 EC2 实例。为会话配置 Amazon CloudWatch 监控。为所需的 CloudWatch Logs 日志组选择存储会话日志选项。
- D. 使用 AWS Systems Manager Session Manager 连接到 EC2 实例。配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。 ✓
正确答案: D. 使用 AWS Systems Manager Session Manager 连接到 EC2 实例。配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。
解析
AWS Systems Manager Session Manager 允许通过安全的 IMDSv2 协议连接 EC2 实例,无需开放入站端口或管理 SSH 密钥,符合安全访问要求。该服务支持将用户会话活动日志上传至 Amazon CloudWatch Logs,并可配置为仅使用加密的日志组存储,满足日志监控、存储及加密需求。选项 D 明确选择了 Session Manager 并配置了加密的 CloudWatch 日志上传,完整覆盖所有合规与技术要求。