Q55 — AWS SCS-C02 第1章
第 55/100 题 | ← 返回第1章
一家公司使用 Amazon EC2 启动类型在 Amazon Elastic Container Service(Amazon ECS)上运行内部微服务,并使用 Amazon Elastic Container Registry(Amazon ECR)私有仓库。 安全工程师需使用 AWS 密钥管理服务(AWS KMS)加密这些私有仓库,同时还需分析容器镜像是否存在常见漏洞和暴露(CVE)。
- A. 为现有 ECR 仓库启用 KMS 加密。在 ECS 容器实例的用户数据中安装 Amazon Inspector Agent。运行 CVE 规则评估。
- B. 重建 ECR 仓库,启用 KMS 加密和 ECR 扫描功能。在下次推送镜像后分析扫描报告。 ✓
- C. 重建 ECR 仓库,启用 KMS 加密和 ECR 扫描功能。在 ECS 容器实例上安装 AWS Systems Manager Agent。运行清单报告。
- D. 为现有 ECR 仓库启用 KMS 加密。使用 AWS Trusted Advisor 检查 ECS 容器实例,并将结果与当前 CVE 列表进行比对。
正确答案: B. 重建 ECR 仓库,启用 KMS 加密和 ECR 扫描功能。在下次推送镜像后分析扫描报告。
解析
题目核心在于 ECR 私有仓库的 KMS 加密和漏洞扫描功能实现。根据 AWS 规定,已存在的 ECR 仓库无法直接启用 KMS 加密,必须重建仓库时选择加密选项;同时 ECR 内置镜像扫描功能需在仓库创建时激活,推送新镜像后自动生成 CVE 报告。B 选项通过重建仓库同时配置加密和扫描,符合操作规范,其他选项涉及的代理安装、存量仓库加密或非专用扫描工具均无法同时满足两项需求。