Q66 — AWS SCS-C02 第1章

第 66/100 题 | ← 返回第1章

一家公司使用AWS Config规则识别不符合其数据保护策略的Amazon S3存储桶。这些S3存储桶托管在多个AWS区域和多个AWS账户中。这些账户属于AWS Organizations中的一个组织。该公司需要一种解决方案,以修复组织内当前存在的不合规S3存储桶,并防止未来创建新的不合规S3存储桶。 以下哪种解决方案可满足这些要求?

正确答案: A. 部署一个支持组织范围内资源数据聚合的AWS Config聚合器。创建一个AWS Lambda函数,响应AWS Config对不合规S3存储桶的发现结果,删除或重新配置这些S3存储桶。

解析

AWS Config用于监控资源配置合规性,题目要求跨区域、跨账户集中监控并及时修复现有及未来不合规的S3存储桶。根据AWS最佳实践,组织范围内(organization-wide)的Config聚合器可收集所有成员账户和区域的数据,聚合后统一触发Lambda自动修复操作(删除或重新配置)。SCP虽能限制新资源创建,但无法处理已有资源且配置复杂。选项A通过Lambda实时响应Config的合规评估结果,覆盖现有及未来资源;其他选项或聚合范围不足(C、D)或依赖SCP忽略现有资源(B、D)。正确答案选A。