Q34 — AWS SCS-C02 第1章
第 34/100 题 | ← 返回第1章
一家公司的安全团队需要在AWS访问密钥未在90天或更长时间内轮换时收到通知。安全工程师必须开发一种能自动提供这些通知的解决方案。 哪种解决方案能以最少的工作量满足这些要求?
- A. 部署一个AWS Config托管规则,每24小时定期运行一次。选择access-keys-rotated托管规则,并将maxAccessKeyAge参数设置为90天。创建一个Amazon EventBridge规则,其事件模式匹配AWS Config托管规则发出的NON_COMPLIANT合规类型事件。配置EventBridge向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。 ✓
- B. 创建一个脚本,从AWS Trusted Advisor的IAM访问密钥轮换检查中导出.csv文件。将该脚本加载到AWS Lambda函数中,该函数将.csv文件上传到Amazon S3存储桶。当.csv文件上传至S3存储桶时,创建一个Amazon Athena表查询。通过调用Amazon Simple Notification Service(Amazon SNS)向安全团队发布任何超过90天的密钥的结果。
- C. 创建一个脚本,定期下载IAM凭证报告。将该脚本加载到AWS Lambda函数中,该函数通过Amazon EventBridge按计划运行。配置Lambda脚本将报告加载到内存中,并筛选出密钥最后轮换时间至少为90天前的记录。如果检测到任何记录,则向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。
- D. 创建一个AWS Lambda函数,查询IAM API以列出所有用户。使用ListAccessKeys操作遍历用户。验证CreateDate字段的值是否不早于90天前。如果该值早于或等于90天,则向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。创建一个Amazon EventBridge规则,每天调度该Lambda函数运行。
正确答案: A. 部署一个AWS Config托管规则,每24小时定期运行一次。选择access-keys-rotated托管规则,并将maxAccessKeyAge参数设置为90天。创建一个Amazon EventBridge规则,其事件模式匹配AWS Config托管规则发出的NON_COMPLIANT合规类型事件。配置EventBridge向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。
解析
本题聚焦AWS访问密钥轮换监控的核心机制,关键在识别最小运维成本的自动化方案。AWS Config提供预置合规规则access-keys-rotated,可直接设置密钥最长存活周期(maxAccessKeyAge参数),通过EventBridge捕获NON_COMPLIANT事件触发SNS告警,全程无需代码开发。其他选项均涉及脚本编写(如导出报告、API轮询)或复杂数据处理流程(S3+Athena),运维复杂度显著更高。正确答案为A。