SAP-C02 第 65 题
题目
A startup company hosts a fleet of Amazon EC2 instances in private subnets using the latest Amazon Linux 2 AMI. The company’s engineers rely heavily on SSH access to the instances for troubleshooting. The company’s existing architecture includes the following: • A VPC with private and public subnets, and a NAT gateway. • Site-to-Site VPN for connectivity with the on-premises environment. • EC2 security groups with direct SSH access from the on-premises environment. The company needs to increase security controls around SSH access and provide auditing of commands run by the engineers. Which strategy should a solutions architect use?
中文翻译:
一家初创公司使用最新的 Amazon Linux 2 AMI 在私有子网中托管一组 Amazon EC2 实例。该公司的工程师严重依赖 SSH 访问实例来进行故障排除。该公司现有的架构包括以下内容: • 具有私有和公有子网以及 NAT 网关的 VPC。 • 用于与本地环境连接的站点到站点VPN。 • 可从本地环境直接进行SSH 访问的EC2 安全组。该公司需要加强对 SSH 访问的安全控制,并对工程师运行的命令进行审核。解决方案架构师应该使用哪种策略?
选项
A. Install and configure EC2 Instance Connect on the fleet of EC2 instances. Remove all security group rules attached to EC2 instances that allow inbound TCP on port 22. Advise the engineers to remotely access the instances by using the EC2 Instance Connect CLI.
中文翻译:
在 EC2 实例队列上安装和配置 EC2 Instance Connect。删除附加到 EC2 实例的所有允许端口 22 上的入站 TCP 的安全组规则。建议工程师使用 EC2 Instance Connect CLI 远程访问实例。
B. Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Install the Amazon CloudWatch agent on all EC2 instances and send operating system audit logs to CloudWatch Logs.
中文翻译:
更新 EC2 安全组以仅允许端口 22 上的入站 TCP 到工程师设备的 IP 地址。在所有 EC2 实例上安装 Amazon CloudWatch 代理并将操作系统审核日志发送到 CloudWatch Logs。
C. Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Enable AWS Config for EC2 security group resource changes. Enable AWS Firewall Manager and apply a security group policy that automatically remediates changes to rules.
中文翻译:
更新 EC2 安全组以仅允许端口 22 上的入站 TCP 到工程师设备的 IP 地址。为 EC2 安全组资源更改启用 AWS Config。启用 AWS Firewall Manager 并应用自动修复规则更改的安全组策略。
D. Create an IAM role with the AmazonSSMManagedInstanceCore managed policy attached. Attach the IAM role to all the EC2 instances. Remove all security group rules attached to the EC2 instances that allow inbound TCP on port 22. Have the engineers install the AWS Systems Manager Session Manager plugin for their devices and remotely access the instances by using the start-session API call from Systems Manager.
中文翻译:
创建附加了 AmazonSSMManagedInstanceCore 托管策略的 IAM 角色。将 IAM 角色附加到所有 EC2 实例。删除附加到 EC2 实例的所有允许端口 22 上的入站 TCP 的安全组规则。让工程师为其设备安装 AWS Systems Manager 会话管理器插件,并使用 Systems Manager 中的启动会话 API 调用远程访问实例。
答案
D
解析
正确答案:D 解析: 本题应选择 D。 正确选项: D. 创建附加了 AmazonSSMManagedInstanceCore 托管策略的 IAM 角色。将 IAM 角色附加到所有 EC2 实例。删除附加到 EC2 实例的所有允许端口 22 上的入站 TCP 的安全组规则。让工程师为其设备安装 AWS Systems Manager 会话管理器插件,并使用 Systems Manager 中的启动会话 API 调用远程访问实例。 选择理...