Q40 — AWS SCS-C02 第1章
第 40/100 题 | ← 返回第1章
一家公司有一个应用程序,运行在Application Load Balancer(ALB)后面的Amazon EC2实例上。这些实例位于Amazon EC2 Auto Scaling组中,并连接了Amazon Elastic Block Store(Amazon EBS)卷。一名安全工程师需要保留其中一个实例的所有取证证据。 安全工程师应按何种顺序执行步骤以满足此要求?
- A. 对实例创建EBS卷快照,并将快照存储在Amazon S3存储桶中。对实例创建内存快照,并将快照存储在S3存储桶中。将实例从Auto Scaling组中分离。将实例从ALB中注销。停止实例。
- B. 对实例创建内存快照,并将快照存储在Amazon S3存储桶中。停止实例。对实例创建EBS卷快照,并将快照存储在S3存储桶中。将实例从Auto Scaling组中分离。将实例从ALB中注销。
- C. 将实例从Auto Scaling组中分离。将实例从ALB中注销。对实例创建EBS卷快照,并将快照存储在Amazon S3存储桶中。对实例创建内存快照,并将快照存储在S3存储桶中。停止实例。 ✓
- D. 将实例从Auto Scaling组中分离。将实例从ALB中注销。停止实例。对实例创建内存快照,并将快照存储在Amazon S3存储桶中。对实例创建EBS卷快照,并将快照存储在S3存储桶中。
正确答案: C. 将实例从Auto Scaling组中分离。将实例从ALB中注销。对实例创建EBS卷快照,并将快照存储在Amazon S3存储桶中。对实例创建内存快照,并将快照存储在S3存储桶中。停止实例。
解析
这道题考察在AWS环境中处理安全取证的正确步骤顺序。AWS文档指出,在保留EC2实例的取证证据时,首要任务是捕获易失性数据(如内存快照),因为停止实例会导致内存数据丢失。选项B首先执行内存快照,并在实例停止后生成EBS快照,确保数据完整性。其他选项在停止实例后才获取内存快照(如选项D)或未及时分离负载(如选项A和C)的操作顺序不符合取证流程。