SAP-C02 第 242 题
题目
During an audit, a security team discovered that a development team was putting IAM user secret access keys in their code and then committing it to an AWS CodeCommit repository. The security team wants to automatically find and remediate instances of this security vulnerability. Which solution will ensure that the credentials are appropriately secured automatically?
中文翻译:
在审核过程中,安全团队发现开发团队将 IAM 用户秘密访问密钥放入其代码中,然后将其提交到 AWS CodeCommit 存储库。安全团队希望自动查找并修复此安全漏洞的实例。哪种解决方案将确保凭证自动得到适当保护?
选项
A. Run a script nightly using AWS Systems Manager Run Command to search for credentials on the development instances. If found, use AWS Secrets Manager to rotate the credentials
中文翻译:
每晚使用 AWS Systems Manager Run Command 运行脚本以搜索开发实例上的凭证。如果找到,请使用 AWS Secrets Manager 轮换凭证
B. Use a scheduled AWS Lambda function to download and scan the application code from CodeCommit. If credentials are found, generate new credentials and store them in AWS KMS.
中文翻译:
使用计划的 AWS Lambda 函数从 CodeCommit 下载并扫描应用程序代码。如果找到凭证,则生成新凭证并将其存储在 AWS KMS 中。
C. Configure Amazon Macie to scan for credentials in CodeCommit repositories. If credentials are found, trigger an AWS Lambda function to disable the credentials and notify the user.
中文翻译:
配置 Amazon Macie 以扫描 CodeCommit 存储库中的凭证。如果找到凭证,则触发 AWS Lambda 函数以禁用凭证并通知用户。
D. Configure a CodeCommit trigger to invoke an AWS Lambda function to scan new code submissions for credentials. If credentials are found, disable them in AWS IAM and notify the user.
中文翻译:
配置 CodeCommit 触发器以调用 AWS Lambda 函数来扫描新提交的代码以获取凭证。如果找到凭证,请在 AWS IAM 中禁用它们并通知用户。
答案
D
解析
正确答案:D 解析: 本题应选择 D。 正确选项: D. 配置 CodeCommit 触发器以调用 AWS Lambda 函数来扫描新提交的代码以获取凭证。如果找到凭证,请在 AWS IAM 中禁用它们并通知用户。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:Lam...