Q35 — AWS SCS-C02 第1章
第 35/100 题 | ← 返回第1章
一家公司使用外部身份提供商实现跨不同AWS账户的联合登录。该公司的一名安全工程师需要识别一周前终止生产环境Amazon EC2实例的联合用户。 安全工程师识别该联合用户的最快方法是什么?
- A. 查看存储在Amazon S3存储桶中的AWS CloudTrail事件历史日志,查找TerminateInstances事件,从角色会话名称中识别联合用户。
- B. 在AWS CloudTrail事件历史中筛选TerminateInstances事件并识别所承担的IAM角色。查看CloudTrail中的AssumeRoleWithSAML事件调用,以识别对应的用户名。 ✓
- C. 在AWS CloudTrail日志中搜索TerminateInstances事件并记录事件时间。查看所有联合角色的IAM访问顾问(Access Advisor)选项卡。最后访问时间应与实例终止时间匹配。
- D. 使用Amazon Athena在存储于Amazon S3存储桶中的AWS CloudTrail日志上运行SQL查询,并按TerminateInstances事件进行筛选。识别对应的角色,再运行另一个查询筛选AssumeRoleWithWebIdentity事件以获取用户名。
正确答案: B. 在AWS CloudTrail事件历史中筛选TerminateInstances事件并识别所承担的IAM角色。查看CloudTrail中的AssumeRoleWithSAML事件调用,以识别对应的用户名。
解析
AWS CloudTrail记录API活动,包括角色担任和资源操作。联合用户通过SAML登录触发AssumeRoleWithSAML事件,其中包含用户身份信息。TerminateInstances事件显示执行角色,但需关联AssumeRole事件获取原始用户。选项B通过筛选TerminateInstances确定角色后,追溯对应的AssumeRoleWithSAML事件找出用户名。选项A可能无法直接映射会话名到用户;C的Access Advisor仅跟踪服务访问,不关联具体用户或API调用;D错误使用WebIdentity而非SAML事件类型。B正确处理了角色与SAML断言的关联。