Q35 — AWS SCS-C02 第1章

第 35/100 题 | ← 返回第1章

一家公司使用外部身份提供商实现跨不同AWS账户的联合登录。该公司的一名安全工程师需要识别一周前终止生产环境Amazon EC2实例的联合用户。 安全工程师识别该联合用户的最快方法是什么?

正确答案: B. 在AWS CloudTrail事件历史中筛选TerminateInstances事件并识别所承担的IAM角色。查看CloudTrail中的AssumeRoleWithSAML事件调用,以识别对应的用户名。

解析

AWS CloudTrail记录API活动,包括角色担任和资源操作。联合用户通过SAML登录触发AssumeRoleWithSAML事件,其中包含用户身份信息。TerminateInstances事件显示执行角色,但需关联AssumeRole事件获取原始用户。选项B通过筛选TerminateInstances确定角色后,追溯对应的AssumeRoleWithSAML事件找出用户名。选项A可能无法直接映射会话名到用户;C的Access Advisor仅跟踪服务访问,不关联具体用户或API调用;D错误使用WebIdentity而非SAML事件类型。B正确处理了角色与SAML断言的关联。