Q94 — AWS SCS-C02 第1章

第 94/100 题 | ← 返回第1章

一家公司已按照AWS最佳实践保护其AWS账户根用户。该公司还启用了AWS CloudTrail,且其日志正发送至Amazon S3。一位安全工程师希望在用户使用AWS账户根用户凭据登录AWS管理控制台时,近实时地收到通知。 以下哪些解决方案可提供此通知?(选择两项)

正确答案: C. 配置AWS CloudTrail将日志发送至Amazon CloudWatch Logs。在CloudTrail使用的CloudWatch Logs日志组上配置指标筛选器,以评估成功根账户登录的日志条目。创建一个Amazon CloudWatch告警,用于监控是否发生了根登录事件。配置该CloudWatch告警在进入ALARM状态时通知Amazon Simple Notification Service(Amazon SNS)主题。向该SNS主题订阅任何所需端点,以便这些端点可接收通知。, D. 配置AWS CloudTrail将日志通知发送至Amazon Simple Notification Service(Amazon SNS)主题。创建一个AWS Lambda函数,用于解析CloudTrail通知中的根登录活动,并通知另一个包含应接收通知端点的SNS主题。将Lambda函数订阅至接收CloudTrail日志通知的SNS主题。

解析

题干要求当AWS根用户登录时近实时接收通知,解决方案需结合CloudTrail日志实时处理能力。AWS最佳实践中,实时监控通常通过CloudTrail与CloudWatch或EventBridge集成实现。选项C正确:CloudTrail日志发送至CloudWatch Logs,配置Metric Filter筛选根用户登录事件(如ConsoleLogin和userIdentity.type=Root),触发CloudWatch Alarm并通过SNS发送通知。此方法符合AWS文档中利用CloudWatch实时处理CloudTrail日志的推荐。选项D正确:CloudTrail日志事件可通过EventBridge路由(尽管选项描述未明确提及),Lambda解析事件并触发SNS。AWS允许通过EventBridge捕获CloudTrail管理事件,实时触发Lambda处理,满足近实时需求。选项描述的流程虽省略EventBridge配置,但通过Lambda处理CloudTrail通知的核心步骤有效。