Q3 — AWS SCS-C02 第1章

第 3/100 题 | ← 返回第1章

一家公司需要提升其识别和阻止授予公共资源访问权限或跨账户访问权限的IAM策略的能力。该公司已实施AWS Organizations,并开始使用AWS Identity and Access Management Access Analyzer来优化组织内各账户的过度宽泛访问权限。 一名安全工程师必须为其公司组织中任何新创建的过度宽松策略自动响应。该自动化方案必须修复外部访问权限,并通知公司的安全团队。 安全工程师应采取以下哪组步骤组合来满足这些要求?(选择三项)

正确答案: A. 创建一个AWS Step Functions状态机,用于检查发现结果中的资源类型,并在IAM角色的信任策略中添加显式Deny语句。配置该状态机向Amazon Simple Notification Service(Amazon SNS)主题发布通知。 , C. 在Amazon EventBridge中,创建一个事件规则,匹配活跃的IAM Access Analyzer发现结果,并调用AWS Step Functions进行处理。 , F. 创建一个Amazon Simple Notification Service(Amazon SNS)主题,用于接收外部或跨账户访问通知。将安全团队的电子邮件地址订阅至该主题。

解析

IAM Access Analyzer发现结果通过Amazon EventBridge事件总线发出,因此需使用EventBridge规则捕获事件并触发自动化响应(如Step Functions)。Step Functions适合编排多步修复操作(如修改信任策略)并集成SNS通知。SNS主题是标准通知机制,用于及时触达安全团队。选项C、A、F共同构成端到端自动化方案:C捕获事件,A执行修复与通知,F确保通知送达。选项B中Batch不适用于实时策略修复;D中CloudWatch指标筛选器无法捕获Access Analyzer事件;E中SQS未提供主动通知能力,不符合‘通知’要求。