Q34 — AWS SCS-C02 第1章

第 34/100 题 | ← 返回第1章

一家公司的安全团队需要在AWS访问密钥未在90天或更长时间内轮换时收到通知。安全工程师必须开发一种能自动提供这些通知的解决方案。 哪种解决方案能以最少的工作量满足这些要求?

正确答案: A. 部署一个AWS Config托管规则,每24小时定期运行一次。选择access-keys-rotated托管规则,并将maxAccessKeyAge参数设置为90天。创建一个Amazon EventBridge规则,其事件模式匹配AWS Config托管规则发出的NON_COMPLIANT合规类型事件。配置EventBridge向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。

解析

本题聚焦AWS访问密钥轮换监控的核心机制,关键在识别最小运维成本的自动化方案。AWS Config提供预置合规规则access-keys-rotated,可直接设置密钥最长存活周期(maxAccessKeyAge参数),通过EventBridge捕获NON_COMPLIANT事件触发SNS告警,全程无需代码开发。其他选项均涉及脚本编写(如导出报告、API轮询)或复杂数据处理流程(S3+Athena),运维复杂度显著更高。正确答案为A。