Q48 — AWS SCS-C02 第1章
第 48/100 题 | ← 返回第1章
一家国际公司在韩国设立了新的业务实体。该公司还建立了一个新的AWS账户,用于承载韩国区域的工作负载。该公司已在新账户的ap-northeast-2区域中部署了该工作负载。该工作负载由三个Amazon EC2实例的Auto Scaling组组成。在该区域中运行的所有工作负载必须将系统日志和应用程序日志保留7年。 一名安全工程师必须实施一种解决方案,确保在扩展活动中每个实例的日志数据不会丢失。该解决方案还必须仅将日志保留所需的7年期限。 为满足这些要求,安全工程师应采取哪三项组合步骤?(请选择三项)
- A. 确保Auto Scaling组启动的所有EC2实例上均已安装Amazon CloudWatch代理。生成CloudWatch代理配置文件,将所需日志转发至Amazon CloudWatch Logs。 ✓
- B. 将目标日志组的日志保留期设置为7年。 ✓
- C. 将IAM角色附加到Auto Scaling组所使用的启动配置或启动模板。配置该角色,以提供将日志转发至Amazon CloudWatch Logs所需的必要权限。 ✓
- D. 将IAM角色附加到Auto Scaling组所使用的启动配置或启动模板。配置该角色,以提供将日志转发至Amazon S3所需的必要权限。
- E. 确保Auto Scaling组启动的所有EC2实例上均已安装日志转发应用程序。配置该日志转发应用程序,定期打包日志并将其转发至Amazon S3。
- F. 在目标S3存储桶上配置Amazon S3生命周期策略,在7年后使对象过期。
正确答案: A. 确保Auto Scaling组启动的所有EC2实例上均已安装Amazon CloudWatch代理。生成CloudWatch代理配置文件,将所需日志转发至Amazon CloudWatch Logs。, B. 将目标日志组的日志保留期设置为7年。, C. 将IAM角色附加到Auto Scaling组所使用的启动配置或启动模板。配置该角色,以提供将日志转发至Amazon CloudWatch Logs所需的必要权限。
解析
该题考察AWS日志管理和自动扩展组的集成方案。AWS文档指出,使用CloudWatch代理(A)可将日志发送到CloudWatch Logs,避免实例终止导致数据丢失。CloudWatch Logs支持设置最长保留时间(B),需手动调整为7年。创建Auto Scaling组时,EC2实例需通过IAM角色(C)获取写入CloudWatch Logs的权限。选项D/E涉及S3存储方案未被题干采纳,F的S3生命周期策略虽技术正确但不符合题干指定的CloudWatch解决方案路径。参考《Amazon CloudWatch用户指南》日志收集与保留策略章节。