SAP-C02 第 370 题
题目
一家公司拥有多个 AWS 账户。该公司最近进行了一次安全审计,发现许多附加到 Amazon EC2 实例的未加密 Amazon Elastic Block Store (Amazon EBS) 卷。解决方案架构师必须对未加密的卷进行加密,并确保将来能够自动检测到未加密的卷。此外,该公司希望有一个解决方案能够集中管理多个 AWS 账户,并重点关注合规性和安全性。解决方案架构师应该采取哪些步骤组合来满足这些要求? (选择两个。)
选项
A. 在 AWS Organizations 中创建组织。设置 AWS Control Tower,并打开强烈推荐的控件(护栏)。将所有帐户加入组织。将 AWS 账户分类为 OU。
B. 使用 AWS CLI 列出所有 AWS 账户中的所有未加密卷。运行脚本以加密所有未加密的卷。
C. 创建每个未加密卷的快照。从未加密的快照创建新的加密卷。分离现有卷,并将其替换为加密卷。
D. 在 AWS Organizations 中创建组织。设置 AWS Control Tower,并启用强制控制(护栏)。将所有帐户加入组织。将 AWS 账户分类为 OU。
E. 打开 AWS CloudTrail。配置 Amazon EventBridge 规则以检测并自动加密未加密的卷。
答案
AC
解析
正确答案:AC 解析: 题干关键点:自动化故障切换或自动恢复、安全控制、加密要求、合规要求、核心服务:EC2, EBS, EventBridge, Organizations, Control Tower。 正确选项: A. 在 AWS Organizations 中创建组织。设置 AWS Control Tower,并打开强烈推荐的控件(护栏)。将所有帐户加入组织。将 AWS 账户分类为 OU。 C. 创建每个未加密卷的快照。从未加密...