Q74 — AWS SOA-C02 第1章
第 74/100 题 | ← 返回第1章
一家公司正在AWS上部署关键应用程序,运行在一组Amazon EC2实例上。该公司正在重写该应用程序,因为该应用程序未通过安全审查。应用程序重写需耗时12个月。在此期间,公司需要轮换应用程序所使用的IAM访问密钥。SysOps管理员必须实施一种自动化解决方案,用于识别并轮换至少30天未更新的IAM访问密钥。该解决方案还必须持续每30天轮换一次IAM访问密钥。 哪种解决方案能以最高的运维效率满足此要求?
- A. 使用AWS Config规则识别至少30天未更新的IAM访问密钥。配置AWS Config调用AWS Systems Manager Automation运行手册以轮换已识别的IAM访问密钥。 ✓
- B. 使用AWS Trusted Advisor识别至少30天未更新的IAM访问密钥。配置Trusted Advisor调用AWS Systems Manager Automation运行手册以轮换已识别的IAM访问密钥。
- C. 创建一个脚本,检查IAM访问密钥的年龄,并在密钥至少30天旧时执行轮换。启动一个EC2实例,并在该EC2实例上按每日cron表达式调度该脚本运行。
- D. 创建一个AWS Lambda函数,检查IAM访问密钥的年龄,并在密钥至少30天旧时执行轮换。使用Amazon EventBridge规则,在每次创建新的IAM访问密钥时触发该Lambda函数。
正确答案: A. 使用AWS Config规则识别至少30天未更新的IAM访问密钥。配置AWS Config调用AWS Systems Manager Automation运行手册以轮换已识别的IAM访问密钥。
解析
该方案利用AWS Config规则持续监控IAM访问密钥,精准识别使用超过30天的密钥,并通过自动化触发AWS Systems Manager Automation运行手册执行密钥轮换。AWS Config提供原生资源监控能力,Systems Manager Automation确保标准化安全操作,支持审计追踪。方案无需维护额外基础设施,完全基于托管服务实现自动化,以最低运维成本满足定期轮换需求,同时保证持续监控和执行能力。