Q56 — AWS SCS-C02 第1章
第 56/100 题 | ← 返回第1章
一家公司需要记录其 Amazon S3 存储桶中的对象级活动。该公司还需使用数字签名验证日志文件的完整性。
- A. 创建启用了日志文件验证功能的 AWS CloudTrail 跟踪。启用数据事件。指定 Amazon S3 作为数据事件类型。 ✓
- B. 为 S3 服务器访问日志创建一个新的 S3 存储桶。配置现有 S3 存储桶,将其 S3 服务器访问日志发送至该新 S3 存储桶。
- C. 创建 Amazon CloudWatch Logs 日志组。配置现有 S3 存储桶,将其 S3 服务器访问日志发送至该日志组。
- D. 为 S3 服务器访问日志创建一个启用日志文件验证功能的新 S3 存储桶。启用数据事件。指定 Amazon S3 作为数据事件类型。
正确答案: A. 创建启用了日志文件验证功能的 AWS CloudTrail 跟踪。启用数据事件。指定 Amazon S3 作为数据事件类型。
解析
AWS CloudTrail 用于记录 AWS 账户中的 API 活动和事件,包括 Amazon S3 对象级别的操作。启用日志文件验证功能后,CloudTrail 会为每个日志文件生成数字签名,通过 SHA-256 哈希算法和 HMAC 签名确保日志文件的完整性。指定 S3 作为数据事件类型允许 CloudTrail 捕获 S3 存储桶内的对象级操作(如上传、下载)。其他选项如 S3 服务器访问日志或 CloudWatch Logs 不支持原生数字签名验证,仅能记录请求信息但无法提供完整性校验。