Q75 — AWS SCS-C02 第1章
第 75/100 题 | ← 返回第1章
一家公司要求:任何 Amazon EC2 安全组均不得允许来自 CIDR 块 0.0.0.0/0 的 SSH 访问。该公司希望持续监控此要求的合规性,并在任一安全组出现不合规情况时,接收近实时通知。一位安全工程师已配置 AWS Config,并将使用 restricted-ssh 托管规则(managed rule)来监控安全组。 为满足上述要求,该安全工程师接下来应执行什么操作?
- A. 配置 AWS Config 将其配置快照发送至 Amazon S3 存储桶。创建一个 AWS Lambda 函数,在向该 S3 存储桶写入事件(PutEvent)时触发。配置该 Lambda 函数解析快照,以识别 restricted-ssh 托管规则的合规性变更。配置该 Lambda 函数在发现变更时向 Amazon 简单通知服务(Amazon SNS)主题发送通知。
- B. 配置一个 Amazon EventBridge 事件规则,该规则由 AWS Config 针对 restricted-ssh 托管规则发出的合规性变更事件触发。配置该事件规则将事件路由至 Amazon 简单通知服务(Amazon SNS)主题,以提供通知。 ✓
- C. 配置 AWS Config 将其所有合规性通知推送至 Amazon CloudWatch Logs。在 AWS Config 日志组上配置 CloudWatch Logs 指标筛选器(metric filter),以查找 restricted-ssh 托管规则的合规性通知变更。在该指标筛选器上创建 Amazon CloudWatch 告警,当告警处于 ALARM 状态时,向 Amazon 简单通知服务(Amazon SNS)主题发送通知。
- D. 在 restricted-ssh 托管规则的 CloudWatch 指标上配置 Amazon CloudWatch 告警。当告警处于 ALARM 状态时,向 Amazon 简单通知服务(Amazon SNS)主题发送通知。
正确答案: B. 配置一个 Amazon EventBridge 事件规则,该规则由 AWS Config 针对 restricted-ssh 托管规则发出的合规性变更事件触发。配置该事件规则将事件路由至 Amazon 简单通知服务(Amazon SNS)主题,以提供通知。
解析
AWS Config与Amazon EventBridge的集成可以实时响应合规性事件。当AWS Config检测到资源不符合restricted-ssh规则时,会生成合规性变更事件。EventBridge通过规则匹配这些事件后,直接路由到Amazon SNS主题发送通知。选项B利用原生的事件驱动架构,无需中间数据处理步骤,确保了近实时性。其他选项涉及额外存储(S3)、批处理(Lambda)或间接日志分析(CloudWatch Logs),均引入延迟或复杂性。AWS官方文档指出,EventBridge是处理Config合规变更的首选方法,因其直接捕获和管理事件流。