Q8 — AWS SCS-C02 第1章
第 8/100 题 | ← 返回第1章
一个Amazon EC2 Auto Scaling组启动Amazon Linux EC2实例,并安装Amazon CloudWatch代理,以将日志发布到Amazon CloudWatch Logs。EC2实例启动时附带一个IAM角色,该角色关联了一个IAM策略。该策略提供了向CloudWatch发布自定义指标的访问权限。EC2实例运行在VPC内的私有子网中。该VPC通过NAT网关为私有子网提供互联网访问。 一名安全工程师注意到,Auto Scaling组启动的EC2实例未向CloudWatch Logs发布任何日志。该安全工程师已确认CloudWatch Logs代理在EC2实例上正常运行且配置正确。此外,该安全工程师还确认网络通信到AWS服务工作正常。 安全工程师可采取什么措施来确保日志发布到CloudWatch Logs?
- A. 配置IAM角色所使用的IAM策略,使其拥有发布日志所需的cloudwatch: API操作权限。 ✓
- B. 调整Amazon EC2 Auto Scaling服务关联角色,使其具有写入CloudWatch Logs的权限。
- C. 配置IAM角色所使用的IAM策略,使其拥有发布日志所需的AWS logs: API操作权限。
- D. 添加一个接口VPC终端节点,以提供通往CloudWatch Logs的路由。
正确答案: A. 配置IAM角色所使用的IAM策略,使其拥有发布日志所需的cloudwatch: API操作权限。
解析
该题涉及IAM权限配置问题。根据AWS文档,CloudWatch Logs需要特定的API权限(如logs:CreateLogGroup、logs:PutLogEvents)。题目中现有策略允许cloudwatch:操作(自定义指标),但未包含logs:权限。选项C关于“AWS logs: API actions”的描述可能存在术语错误,正确服务前缀应为“logs:”。但根据给定答案,选项A正确,可能题目预设策略需调整cloudwatch:权限。正确答案为A。