Q90 — AWS SCS-C02 第1章

第 90/100 题 | ← 返回第1章

一家公司正在实施新的合规性要求以满足客户需求。根据新要求,公司不得使用任何底层存储未加密的Amazon RDS数据库实例或数据库集群。公司需要一种解决方案,在创建未加密的数据库实例或数据库集群时生成电子邮件警报,并终止该未加密的数据库实例或数据库集群。 哪种解决方案能以最高的运维效率满足这些要求?

正确答案: A. 创建一个AWS Config托管规则以检测未加密的RDS存储。配置自动补救操作,向Amazon Simple Notification Service(Amazon SNS)主题发布消息,该主题包含一个AWS Lambda函数和一个电子邮件投递目标作为订阅者。配置Lambda函数删除未加密的资源。

解析

AWS Config提供托管规则持续评估AWS资源配置是否符合策略。当检测到未加密的RDS存储时,自动触发修复动作,通过SNS主题发送警报并调用Lambda终止资源。EventBridge基于事件触发机制更适合响应特定事件而非持续合规检查。AWS Config的自动修复功能(而非手动)确保实时响应,满足完全自动化需求。选项C/D依赖事件模式可能遗漏配置变更后的加密状态检测,而选项B的手动干预无法实现高效运维。AWS官方文档指出AWS Config的自动补救功能适用于实时合规治理场景。