SAP-C02 第 417 题
题目
A company has an application that stores data in a single Amazon S3 bucket. The company must keep all data for 1 year. The company’s security team is concerned that an attacker could gain access to the AWS account through leaked long-term credentials. Which solution will ensure that existing and future objects in the S3 bucket are protected?
中文翻译:
一家公司有一个将数据存储在单个 Amazon S3 存储桶中的应用程序。公司必须将所有数据保留一年。该公司的安全团队担心攻击者可能通过泄露的长期凭证来访问 AWS 帐户。哪种解决方案将确保 S3 存储桶中现有和未来的对象受到保护?
选项
A. Create a new AWS account that is accessible only to the security team through an assumed role. Create an S3 bucket in the new account. Enable S3 Versioning and S3 Object Lock. Configure a default retention period of 1 year. Set up replication from the existing S3 bucket to the new S3 bucket. Create an S3 Batch Replication job to copy all existing data.
中文翻译:
创建一个新的 AWS 账户,只有安全团队可以通过代入的角色访问该账户。在新帐户中创建 S3 存储桶。启用 S3 版本控制和 S3 对象锁定。配置默认保留期为 1 年。设置从现有 S3 存储桶到新 S3 存储桶的复制。创建 S3 批量复制作业以复制所有现有数据。
B. Use the s3-bucket-versioning-enabled AWS Config managed rule. Configure an automatic remediation action that uses an AWS Lambda function to enable S3 Versioning and MFA Delete on noncompliant resources. Add an S3 Lifecycle rule to delete objects after 1 year.
中文翻译:
使用启用 s3-bucket-versioning 的 AWS Config 托管规则。配置自动修复操作,使用 AWS Lambda 函数对不合规资源启用 S3 版本控制和 MFA 删除。添加 S3 生命周期规则以在 1 年后删除对象。
C. Explicitly deny bucket creation from all users and roles except for an AWS Service Catalog launch constraint role. Define a Service Catalog product for the creation of the S3 bucket to force S3 Versioning and MFA Delete to be enabled. Authorize users to launch the product when they need to create an S3 bucket.
中文翻译:
明确拒绝除 AWS Service Catalog 启动约束角色之外的所有用户和角色创建存储桶。定义用于创建 S3 存储桶的服务目录产品,以强制启用 S3 版本控制和 MFA 删除。授权用户在需要创建 S3 存储桶时启动产品。
D. Enable Amazon GuardDuty with the S3 protection feature for the account and the AWS Region. Add an S3 Lifecycle rule to delete objects after 1 year.
中文翻译:
为账户和 AWS 区域启用具有 S3 保护功能的 Amazon GuardDuty。添加 S3 生命周期规则以在 1 年后删除对象。
答案
A
解析
正确答案:A 解析: 本题应选择 A。 正确选项: A. 创建一个新的 AWS 账户,只有安全团队可以通过代入的角色访问该账户。在新帐户中创建 S3 存储桶。启用 S3 版本控制和 S3 对象锁定。配置默认保留期为 1 年。设置从现有 S3 存储桶到新 S3 存储桶的复制。创建 S3 批量复制作业以复制所有现有数据。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最...