Q79 — AWS SCS-C02 第1章
第 79/100 题 | ← 返回第1章
一个开发团队正在创建一套开源工具集,用于管理公司的软件即服务(SaaS)应用程序。该公司将代码存放在一个公共代码仓库中,以便任何人查看和下载该工具集的代码。 该公司发现,代码中包含一个 IAM 访问密钥(access key)和密钥(secret key),该密钥可访问公司 AWS 环境中的内部资源。 安全工程师必须实施一种解决方案,以识别暴露的凭证是否已被未经授权使用。该方案还必须防止暴露的凭证被进一步使用。 以下哪两种组合步骤可满足这些要求?(选择两项)
- A. 使用 AWS Identity and Access Management Access Analyzer 来确定暴露的凭证访问了哪些资源以及由谁使用。 ✓
- B. 停用该用户 IAM 账户中暴露的 IAM 访问密钥。 ✓
- C. 在 Amazon GuardDuty 中创建一条规则,以阻止源代码中暴露的访问密钥被使用。
- D. 为该凭证暴露用户的 IAM 账户创建一个新的 IAM 访问密钥和密钥。
- E. 生成一份 IAM 凭证报告。检查该报告,以确定拥有该访问密钥的用户最后一次登录的时间。
正确答案: A. 使用 AWS Identity and Access Management Access Analyzer 来确定暴露的凭证访问了哪些资源以及由谁使用。, B. 停用该用户 IAM 账户中暴露的 IAM 访问密钥。
解析
题目涉及处理AWS凭证泄露后的应对措施。AWS官方文档指出,当IAM访问密钥暴露时,首要操作是立即停用该密钥(选项B),防止进一步未经授权的访问。AWS Identity and Access Management Access Analyzer(选项A)用于分析资源访问历史,识别凭证被使用的范围和操作主体,符合检测需求。选项C错误,因GuardDuty本身无法直接阻止密钥使用;选项D属于后续补救措施,与检测和阻止无关;选项E的凭证报告仅提供用户登录时间,无法验证密钥是否被外部使用。正确措施为停用密钥并分析访问记录。