Q88 — AWS SCS-C02 第1章
第 88/100 题 | ← 返回第1章
某公司拥有一款传统应用程序,运行于单台Amazon EC2实例上。一次安全审计发现,该应用程序在其代码中硬编码了一个IAM访问密钥,用于访问同一AWS账户内的名为DOC-EXAMPLE-BUCKET1的Amazon S3存储桶。该访问密钥对仅此S3存储桶中的所有对象具有s3:GetObject权限。由于该应用程序不符合公司关于从Amazon EC2访问其他AWS资源的安全策略,公司已将其下线。 安全工程师验证了所有AWS区域均已启用AWS CloudTrail。CloudTrail日志正发送至名为DOC-EXAMPLE-BUCKET2的S3存储桶,该存储桶与DOC-EXAMPLE-BUCKET1位于同一AWS账户。但CloudTrail尚未配置为向Amazon CloudWatch Logs发送日志。 公司希望了解过去60天内是否有任何DOC-EXAMPLE-BUCKET1中的对象曾通过该IAM访问密钥被访问过。如果存在此类访问,公司还希望了解其中文本文件(.txt扩展名)是否包含个人身份信息(PII)。
- A. 使用Amazon CloudWatch Logs Insights识别DOC-EXAMPLE-BUCKET1中包含PII且可被该访问密钥访问的对象。
- B. 使用Amazon OpenSearch Service查询DOC-EXAMPLE-BUCKET2中的CloudTrail日志,查找使用该访问密钥访问含PII对象的API调用。
- C. 使用Amazon Athena查询DOC-EXAMPLE-BUCKET2中的CloudTrail日志,查找使用该访问密钥访问含PII对象的任何API调用。 ✓
- D. 配置AWS Identity and Access Management访问分析器(Access Analyzer),识别使用该访问密钥访问DOC-EXAMPLE-BUCKET1中含PII对象的任何API调用。
- E. 配置Amazon Macie识别DOC-EXAMPLE-BUCKET1中包含PII且可被该访问密钥访问的对象。 ✓
正确答案: C. 使用Amazon Athena查询DOC-EXAMPLE-BUCKET2中的CloudTrail日志,查找使用该访问密钥访问含PII对象的任何API调用。, E. 配置Amazon Macie识别DOC-EXAMPLE-BUCKET1中包含PII且可被该访问密钥访问的对象。
解析
CloudTrail日志存储在S3的DOCEXAMPLE-BUCKET2,未配置CloudWatch Logs传输。Athena支持直接对S3中的CloudTrail日志进行SQL查询,可过滤指定访问密钥的s3:GetObject事件。Macie通过机器学习自动识别S3对象中的PII数据,结合.txt扩展名过滤条件可定位敏感文件。Athena处理访问记录,Macie处理内容分析,两者互补完成审计需求。选项B/D依赖未配置的服务,A缺乏日志来源,无法满足技术条件。