Q92 — AWS SCS-C02 第1章
第 92/100 题 | ← 返回第1章
一家初创公司使用单个AWS账户,其资源位于单个AWS区域。安全工程师使用AWS CLI在同一区域中配置了一个AWS CloudTrail跟踪,将日志文件交付至Amazon S3存储桶。 由于业务扩展,该公司在多个区域中新增了资源。安全工程师注意到,来自新区域的日志未到达S3存储桶。 为以最少的运维开销解决此问题,安全工程师应采取什么措施?
- A. 创建一个新的CloudTrail跟踪。选择公司新增资源的新区域。
- B. 更改S3存储桶以接收通知,从而跟踪所有区域的所有操作。
- C. 创建一个适用于所有区域的CloudTrail跟踪。
- D. 修改现有CloudTrail跟踪,使其适用于所有区域。 ✓
正确答案: D. 修改现有CloudTrail跟踪,使其适用于所有区域。
解析
AWS CloudTrail支持在单个trail中配置多区域日志收集。当现有trail仅作用于单个区域时,新增区域的API活动不会记录。根据AWS官方文档,通过编辑现有trail并启用"Apply trail to all regions"选项,该trail会自动捕获所有(包括未来新增)区域的日志,无需额外创建新trail。选项D直接修改现有配置,避免了维护多个trail的复杂性,符合最小操作成本要求。选项A、C需要新增资源,选项B的S3通知功能与日志收集范围无关。