Q70 — AWS SCS-C02 第1章

第 70/100 题 | ← 返回第1章

一家公司正在将其基于Amazon EC2的应用程序迁移到使用实例元数据服务版本2(IMDSv2)。一位安全工程师需要确定是否仍有EC2实例仍在使用实例元数据服务版本1(IMDSv1)。 安全工程师应如何确认IMDSv1端点已不再被使用?

正确答案: B. 创建一个Amazon CloudWatch仪表板。验证所有EC2实例的EC2:MetadataNoToken指标均为零。监控该仪表板。

解析

IMDSv2要求使用令牌,而IMDSv1无需令牌。AWS提供CloudWatch指标`EC2:MetadataNoToken`统计实例发起的IMDSv1请求次数。检查该指标是否为零可确认是否完全迁移。选项B通过CloudWatch直接监控该指标,无需额外配置。选项A、D涉及自定义日志与脚本,不如原生指标直接。选项C错误,安全组无法控制本地实例元数据服务。来源:AWS文档中关于IMDS迁移的最佳实践部分。