Q99 — AWS SCS-C02 第1章

第 99/100 题 | ← 返回第1章

一位安全工程师最近轮换了AWS账户中的所有IAM访问密钥。随后,该安全工程师配置了AWS Config,并启用了以下AWS Config托管规则:mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated和iam-user-unused-credentials-check。 在调用IAM GenerateCredentialReport API操作后,该安全工程师注意到所有资源均显示为不合规状态。 导致不合规状态的可能原因是什么?

正确答案: A. IAM凭证报告是在过去4小时内生成的。

解析

AWS Config规则评估依赖于资源数据的更新时效性。IAM凭证报告生成后可能需要最多4小时才能反映最新更改结果。AWS文档指出,使用GenerateCredentialReport API生成的凭证报告存在最长4小时的数据延迟。若此时立即调用API生成的报告尚未包含最新的密钥轮换信息,AWS Config规则基于旧数据评估导致显示不合规。选项A正确反映了该机制;选项D的执行频率默认24小时并非直接原因,权限问题B/C与能否生成报告无关。