SAP-C02 第 337 题
题目
A company runs applications in hundreds of production AWS accounts. The company uses AWS Organizations with all features enabled and has a centralized backup operation that uses AWS Backup. The company is concerned about ransomware attacks. To address this concern, the company has created a new policy that all backups must be resilient to breaches of privileged-user credentials in any production account. Which combination of steps will meet this new requirement? (Choose three.)
中文翻译:
一家公司在数百个生产 AWS 账户中运行应用程序。该公司使用启用了所有功能的 AWS Organizations,并使用 AWS Backup 进行集中备份操作。该公司担心勒索软件攻击。为了解决这个问题,该公司制定了一项新政策,即所有备份都必须能够抵御任何生产帐户中特权用户凭据的泄露。哪种步骤组合可以满足这一新要求? (选择三项。)
选项
A. Implement cross-account backup with AWS Backup vaults in designated non-production accounts.
中文翻译:
使用指定非生产账户中的 AWS Backup 文件库实施跨账户备份。
B. Add an SCP that restricts the modification of AWS Backup vaults.
中文翻译:
添加限制修改 AWS Backup 文件库的 SCP。
C. Implement AWS Backup Vault Lock in compliance mode.
中文翻译:
在合规模式下实施 AWS Backup Vault Lock。
D. Implement least privilege access for the IAM service role that is assigned to AWS Backup.
中文翻译:
为分配给 AWS Backup 的 IAM 服务角色实施最低权限访问。
E. Configure the backup frequency, lifecycle, and retention period to ensure that at least one backup always exists in the cold tier.
中文翻译:
配置备份频率、生命周期和保留期限,确保冷层中始终存在至少一份备份。
F. Configure AWS Backup to write all backups to an Amazon S3 bucket in a designated non-production account. Ensure that the S3 bucket has S3 Object Lock enabled.
中文翻译:
配置 AWS Backup 以将所有备份写入指定非生产账户中的 Amazon S3 存储桶。确保 S3 存储桶启用了 S3 对象锁定。
答案
ABC
解析
正确答案:ABC 解析: 本题应选择 ABC。 正确选项: A. 使用指定非生产账户中的 AWS Backup 文件库实施跨账户备份。 B. 添加限制修改 AWS Backup 文件库的 SCP。 C. 在合规模式下实施 AWS Backup Vault Lock。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RT...