Q57 — AWS SCS-C02 第1章
第 57/100 题 | ← 返回第1章
一家医疗公司最近完成了一次收购,并继承了一个现有的AWS环境。该公司即将接受审计,担心其收购资产的合规状况。该公司必须识别Amazon S3存储桶中的个人健康信息(PHI),并识别出公开可访问的S3存储桶。该公司需要通过收集环境中证据来为审计做准备。 以下哪组步骤能以最少的运维开销满足这些要求?(选择三项)
- A. 启用Amazon Macie。运行按需敏感数据发现任务,使用PERSONAL_INFORMATION托管数据标识符。 ✓
- B. 使用AWS Glue配合Detect PII转换功能来识别敏感数据并对敏感数据进行脱敏。
- C. 启用AWS Audit Manager。使用受支持的框架创建评估。
- D. 启用Amazon GuardDuty S3 Protection。记录与S3存储桶可疑访问相关的任何发现。
- E. 启用AWS Security Hub。使用AWS基础安全最佳实践标准。在控制仪表板中检查S3阻止公共访问控制项失败的证据。 ✓
- F. 启用AWS Config。配置s3-bucket-public-write-prohibited AWS Config托管规则。 ✓
正确答案: A. 启用Amazon Macie。运行按需敏感数据发现任务,使用PERSONAL_INFORMATION托管数据标识符。, E. 启用AWS Security Hub。使用AWS基础安全最佳实践标准。在控制仪表板中检查S3阻止公共访问控制项失败的证据。, F. 启用AWS Config。配置s3-bucket-public-write-prohibited AWS Config托管规则。
解析
Amazon Macie专用于通过机器学习自动发现、分类和保护AWS中的敏感数据,如个人健康信息(PHI)。使用其预定义的PERSONAL_INFORMATION标识符可快速扫描S3存储桶(AWS官方文档:Amazon Macie功能)。AWS Security Hub整合多服务安全状态,使用AWS基础安全最佳实践标准可自动检查S3公共访问控制配置,直接生成合规证据(AWS Security Hub用户指南)。AWS Config持续评估资源配置是否符合规则,s3-bucket-public-write-prohibited托管规则自动检测并报告公开可写的存储桶(AWS Config开发者指南)。选项B涉及数据处理而非单纯识别,选项C/D侧重审计框架或威胁检测,与题目要求的直接证据收集场景匹配度较低。