Q85 — AWS SCS-C02 第1章

第 85/100 题 | ← 返回第1章

某公司的一组Amazon EC2实例位于一个未附加互联网网关的VPC私有子网内。安全工程师已在该子网中所有实例上安装Amazon CloudWatch代理,以捕获特定应用程序的日志。为确保日志安全传输,公司网络团队已为CloudWatch监控和CloudWatch日志创建了VPC端点,并将端点附加至该VPC。 应用程序正在生成日志。然而,当安全工程师查询CloudWatch时,日志并未显示。

正确答案: A. 确保附加到EC2实例的EC2实例配置文件具有创建日志流和写入日志的权限。, C. 检查每台EC2实例上的CloudWatch代理配置文件,确认代理正在收集正确的日志文件。, D. 检查两个VPC端点的VPC端点策略,确保EC2实例拥有使用这些端点的权限。

解析

该题涉及VPC环境中CloudWatch日志传输问题的排查。AWS文档指出,使用VPC端点需满足三个条件:正确的IAM权限、正确的代理配置以及VPC端点策略授权。选项A对应IAM角色权限不足场景,若实例配置文件未授予logs:CreateLogStream和logs:PutLogEvents权限,数据无法写入。选项C对应配置错误,例如日志路径错误或配置文件中区域设置不正确可能导致代理无法捕获日志。选项D对应VPC端点策略限制,若端点策略未包含Principal "*"或未授权logs:CreateLogGroup等操作,流量会被拦截。选项E错误,因VPC端点已提供私网连接无需NAT。选项B在日志未到达CloudWatch时无效,选项F的实例间通信与日志传输路径无关。