题目内容
(请给出正确答案)
[主观题]
公司有一项要求,即仅允许将经过特殊加固的AMI启动到VPC的公共子网中,并且必须将AMI与特定的安全组关联.如果允许不符合要求的实例运行到公共子网中,则可能会带来重大的安全风险.同一AWS账户的AmazonDynamoDB表中存在批准的AMI,子网到安全组的映射.该公司创建了一个AWSLambda函数,如果在DynamoDB表中未批准AMI,子网和安全组的组合,则该函数将在调用时终止给定的AmazonEC2实例.解决方案架构师应该采取什么措施来快速缓解MOST的合规性偏离风险()
A.创建一个Amazon CloudWatchEvents规则,该规则与每次使用允许的AMI之一启动EC2实例时匹配,并将其与作为目标的Lambda函数相关联B.对于接收Aws CloudTrail日志的AmazonS3存储桶,创建一个具有过滤器的S3事件通知配置,以在日志包含ec2:RunInstances操作时进行匹配,并将其与作为目标的Lambda函数相关联C.启用AWS CloudTrail并将其配置为流式传输到Amazon CloudWatch Logs组.在CloudWatch中创建一个指标过滤器以匹配ec2:RunInstances操作何时发生,并在指标大于0时触发Lambda函数D.创建一个每次启动EC2实例时都匹配的Amazon CloudWatchEvents规则,并将其与作为目标的Lambda函数相关联
答案
D
解析:A不会停止不合规启动的AMIB.Cloudtrail日志最多显示5到15分钟https://docs.aws.amazon.com/awscloudtrail/latest/userguide/get-and-view-cloudtrail-log-files.htmlC.Cloudtrail可以监视ec2:Runinstanceapi调用,但是Cloudtrail日志最多可以监视5个15分钟显示https://docs.aws.amazon.com/AWSEC2/latest/APIReference/using-cloudtrail.htmlhttps://docs.aws.amazon.com/awscloudtrail/latest/userguide/get-and-view-cloudtrail-log-files.htmlD.https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/automating_with_cloudwatch_events.html
如果结果不匹配,请 联系老师 获取答案
更多“公司有一项要求,即仅允许将经过特殊加固的AMI启动到VPC的…”相关的问题
