Q84 — AWS SCS-C02 第1章

第 84/100 题 | ← 返回第1章

某公司的AWS CloudTrail日志全部集中存储在Amazon S3存储桶中。安全团队负责管理该公司AWS账户。安全团队必须防止CloudTrail日志遭到未授权访问和篡改。

正确答案: A. 配置服务器端加密,使用AWS KMS托管的加密密钥(SSE-KMS)。, D. 通过配置存储桶策略,实施最小权限访问控制,限制对该S3存储桶的访问。, E. 配置CloudTrail日志文件完整性验证。

解析

AWS文档指出,保护CloudTrail日志需启用日志文件完整性验证(E)以检测篡改,利用SSE-KMS(A)确保静态数据加密,并应用最小权限的S3存储桶策略(D)限制访问。选项B的压缩不影响安全,C的监控属被动响应,F分析访问但不直接阻止。最佳实践结合加密、权限控制及完整性检查构成核心防护措施。[参考AWS Security Best Practices及CloudTrail User Guide]