Q84 — AWS SCS-C02 第1章
第 84/100 题 | ← 返回第1章
某公司的AWS CloudTrail日志全部集中存储在Amazon S3存储桶中。安全团队负责管理该公司AWS账户。安全团队必须防止CloudTrail日志遭到未授权访问和篡改。
- A. 配置服务器端加密,使用AWS KMS托管的加密密钥(SSE-KMS)。 ✓
- B. 使用安全gzip压缩日志文件。
- C. 创建Amazon EventBridge规则,在CloudTrail日志文件发生任何修改时通知安全团队。
- D. 通过配置存储桶策略,实施最小权限访问控制,限制对该S3存储桶的访问。 ✓
- E. 配置CloudTrail日志文件完整性验证。 ✓
- F. 配置S3访问分析器(Access Analyzer for S3)。
正确答案: A. 配置服务器端加密,使用AWS KMS托管的加密密钥(SSE-KMS)。, D. 通过配置存储桶策略,实施最小权限访问控制,限制对该S3存储桶的访问。, E. 配置CloudTrail日志文件完整性验证。
解析
AWS文档指出,保护CloudTrail日志需启用日志文件完整性验证(E)以检测篡改,利用SSE-KMS(A)确保静态数据加密,并应用最小权限的S3存储桶策略(D)限制访问。选项B的压缩不影响安全,C的监控属被动响应,F分析访问但不直接阻止。最佳实践结合加密、权限控制及完整性检查构成核心防护措施。[参考AWS Security Best Practices及CloudTrail User Guide]