Q90 — AWS SCS-C02 第1章
第 90/100 题 | ← 返回第1章
一家公司正在实施新的合规性要求以满足客户需求。根据新要求,公司不得使用任何底层存储未加密的Amazon RDS数据库实例或数据库集群。公司需要一种解决方案,在创建未加密的数据库实例或数据库集群时生成电子邮件警报,并终止该未加密的数据库实例或数据库集群。 哪种解决方案能以最高的运维效率满足这些要求?
- A. 创建一个AWS Config托管规则以检测未加密的RDS存储。配置自动补救操作,向Amazon Simple Notification Service(Amazon SNS)主题发布消息,该主题包含一个AWS Lambda函数和一个电子邮件投递目标作为订阅者。配置Lambda函数删除未加密的资源。 ✓
- B. 创建一个AWS Config托管规则以检测未加密的RDS存储。配置手动补救操作以调用AWS Lambda函数。配置Lambda函数向Amazon Simple Notification Service(Amazon SNS)主题发布消息并删除未加密的资源。
- C. 创建一个Amazon EventBridge规则,该规则评估RDS事件模式,并在创建数据库实例或数据库集群时触发。配置该规则向Amazon Simple Notification Service(Amazon SNS)主题发布消息,该主题包含一个AWS Lambda函数和一个电子邮件投递目标作为订阅者。配置Lambda函数删除未加密的资源。
- D. 创建一个Amazon EventBridge规则,该规则评估RDS事件模式,并在创建数据库实例或数据库集群时触发。配置该规则调用AWS Lambda函数。配置Lambda函数向Amazon Simple Notification Service(Amazon SNS)主题发布消息并删除未加密的资源。
正确答案: A. 创建一个AWS Config托管规则以检测未加密的RDS存储。配置自动补救操作,向Amazon Simple Notification Service(Amazon SNS)主题发布消息,该主题包含一个AWS Lambda函数和一个电子邮件投递目标作为订阅者。配置Lambda函数删除未加密的资源。
解析
AWS Config提供托管规则持续评估AWS资源配置是否符合策略。当检测到未加密的RDS存储时,自动触发修复动作,通过SNS主题发送警报并调用Lambda终止资源。EventBridge基于事件触发机制更适合响应特定事件而非持续合规检查。AWS Config的自动修复功能(而非手动)确保实时响应,满足完全自动化需求。选项C/D依赖事件模式可能遗漏配置变更后的加密状态检测,而选项B的手动干预无法实现高效运维。AWS官方文档指出AWS Config的自动补救功能适用于实时合规治理场景。