Q22 — AWS SCS-C02 第1章
第 22/100 题 | ← 返回第1章
一家公司使用 Amazon Elastic Kubernetes Service(Amazon EKS)集群运行其基于 Kubernetes 的应用程序。该公司使用 Amazon GuardDuty 保护这些应用程序。已在 GuardDuty 中启用 EKS Protection。然而,相应的 GuardDuty 功能并未监控基于 Kubernetes 的应用程序。 哪种解决方案将使 GuardDuty 监控基于 Kubernetes 的应用程序?
- A. 为托管 EKS 集群的 VPC 启用 VPC 流日志。
- B. 将 CloudWatchEventsFullAccess AWS 托管策略分配给 EKS 集群。
- C. 确保将 AmazonGuardDutyFullAccess AWS 托管策略附加到 GuardDuty 服务角色。
- D. 在 Amazon EKS 中启用控制平面日志。确保这些日志被摄取到 Amazon CloudWatch。 ✓
正确答案: D. 在 Amazon EKS 中启用控制平面日志。确保这些日志被摄取到 Amazon CloudWatch。
解析
Amazon GuardDuty的EKS保护功能依赖EKS控制平面日志来检测Kubernetes层面的威胁。仅启用EKS保护功能而不提供相关日志数据,GuardDuty无法监控Kubernetes应用。通过在Amazon EKS中启用控制平面日志(涵盖API服务器、控制器管理器、调度器和etcd等组件),并将这些日志摄取到Amazon CloudWatch,GuardDuty才能获取必要的日志信息,从而实现对Kubernetes应用的安全监控。