單項(xiàng)選擇題

在開(kāi)發(fā)人員在意外區(qū)域意外啟動(dòng)Amazon EC2實(shí)例之后，一家大公司的每月AWS支出急劇增加。該公司已針對(duì)開(kāi)發(fā)人員的最低特權(quán)建立了實(shí)踐，并使用Active Directory組控制對(duì)本地資源的訪問(wèn)。公司現(xiàn)在希望通過(guò)限制開(kāi)發(fā)人員對(duì)AWS管理控制臺(tái)的訪問(wèn)級(jí)別來(lái)控制成本，而又不影響其生產(chǎn)力。該公司還希望允許開(kāi)發(fā)人員僅在一個(gè)地區(qū)啟動(dòng)Amazon EC2，而不限制對(duì)任何地區(qū)的其他服務(wù)的訪問(wèn)。該公司如何在最小化運(yùn)營(yíng)團(tuán)隊(duì)的管理負(fù)擔(dān)的同時(shí)滿(mǎn)足這些新的安全要求？（）

A.設(shè)置與附加了AdministrativeAccess受管策略的IAM角色綁定的基于SAML的身份驗(yàn)證。附加一個(gè)客戶(hù)托管的策略，該策略拒絕在每個(gè)區(qū)域中訪問(wèn)Amazon EC2，但必需的策略除外
B.為每個(gè)開(kāi)發(fā)人員創(chuàng)建一個(gè)IAM用戶(hù)，并將它們添加到附加了PowerUserAccess托管策略的開(kāi)發(fā)人員IAM組。附加客戶(hù)托管的策略，該策略?xún)H允許開(kāi)發(fā)人員在所需區(qū)域中訪問(wèn)Amazon EC2
C. 設(shè)置與IAM角色綁定的基于SAML的身份驗(yàn)證，該角色具有PowerUserAccess托管策略和客戶(hù)托管策略，該策略拒絕所有開(kāi)發(fā)人員訪問(wèn)除AWS Service Catalog以外的任何AWS服務(wù)。在AWS Service Catalog中，創(chuàng)建僅包含批準(zhǔn)區(qū)域中EC2資源的產(chǎn)品
D.設(shè)置與附加了PowerUserAccess托管策略的IAM角色綁定的基于SAML的身份驗(yàn)證。附加一個(gè)客戶(hù)托管的策略，該策略拒絕在每個(gè)區(qū)域中訪問(wèn)Amazon EC2，但必需的策略除外

你可能感興趣的試題

單項(xiàng)選擇題

解決方案架構(gòu)師必須設(shè)計(jì)高可用性，無(wú)狀態(tài)的REST服務(wù)。該服務(wù)將需要多個(gè)持久性存儲(chǔ)層，以用于服務(wù)對(duì)象元信息和內(nèi)容傳遞。每個(gè)請(qǐng)求都需要進(jìn)行身份驗(yàn)證和安全處理。是否有要求保持盡可能低的成本？如何滿(mǎn)足這些要求？（）

A.使用AWS Fargate托管運(yùn)行自包含REST服務(wù)的容器。設(shè)置由應(yīng)用程序負(fù)載平衡器（ALB）前置的Amazon ECS服務(wù)。使用自定義身份驗(yàn)證器控制對(duì)AP1的訪問(wèn)。將請(qǐng)求元信息與Auto Scaling一起存儲(chǔ)在Amazon DynamoDB中，并將靜態(tài)內(nèi)容存儲(chǔ)在受保護(hù)的S3存儲(chǔ)桶中。發(fā)出對(duì)Amazon S3對(duì)象的安全簽名請(qǐng)求，并通過(guò)REST服務(wù)接口代理數(shù)據(jù)
B.使用AWS Fargate托管運(yùn)行自包含REST服務(wù)的容器。設(shè)置以跨區(qū)域ALB為首的ECS服務(wù)。使用Amazon Cognito用戶(hù)池來(lái)控制對(duì)AP1的訪問(wèn)。將請(qǐng)求元信息與Auto Scaling一起存儲(chǔ)在DynamoDB中，并將靜態(tài)內(nèi)容存儲(chǔ)在受保護(hù)的S3存儲(chǔ)桶中。返回對(duì)存儲(chǔ)在Amazon S3中的內(nèi)容的引用時(shí)，生成預(yù)簽名URL
C.設(shè)置Amazon API Gateway并創(chuàng)建所需的API資源和方法。使用Amazon Cognito用戶(hù)池來(lái)控制對(duì)API的訪問(wèn)。配置方法以使用AWS Lambda代理集成，并使用唯一的AWS Lambda函數(shù)處理每個(gè)資源。將請(qǐng)求元信息與Auto Scaling一起存儲(chǔ)在DynamoDB中，并將靜態(tài)內(nèi)容存儲(chǔ)在受保護(hù)的S3存儲(chǔ)桶中。返回對(duì)存儲(chǔ)在Amazon S3中的內(nèi)容的引用時(shí)，生成預(yù)簽名URL
D.設(shè)置Amazon API Gateway并創(chuàng)建所需的API資源和方法。使用Amazon AP1網(wǎng)關(guān)自定義授權(quán)者來(lái)控制對(duì)API的訪問(wèn)。配置方法以使用AWS Lambdacustom集成，并使用唯一的Lambda函數(shù)處理每個(gè)資源。將請(qǐng)求元信息存儲(chǔ)在Amazon ElastiCache多可用區(qū)集群中，并將靜態(tài)內(nèi)容存儲(chǔ)在受保護(hù)的S3存儲(chǔ)桶中。返回對(duì)存儲(chǔ)在Amazon S3中的內(nèi)容的引用時(shí)，生成預(yù)簽名URL

單項(xiàng)選擇題

解決方案架構(gòu)師必須為大型混合的Windows和Linux服務(wù)器艦隊(duì)制定補(bǔ)丁計(jì)劃，該補(bǔ)丁計(jì)劃必須安全實(shí)施，經(jīng)過(guò)審核并符合公司的業(yè)務(wù)要求。通過(guò)最小的努力，哪個(gè)選項(xiàng)可以滿(mǎn)足這些要求？（）

A.安裝并使用OS本地修補(bǔ)程序服務(wù)來(lái)管理所有實(shí)例的更新頻率并發(fā)布批準(zhǔn)。使用AWS Config驗(yàn)證每個(gè)實(shí)例上的操作系統(tǒng)狀態(tài)，并報(bào)告任何補(bǔ)丁程序合規(guī)性問(wèn)題
B.在所有實(shí)例上使用AWS Systems Manager來(lái)管理修補(bǔ)程序。在生產(chǎn)之外測(cè)試補(bǔ)丁，然后在維護(hù)窗口中通過(guò)相應(yīng)的批準(zhǔn)進(jìn)行部署
C.使用AWS OpsWorks for Chef Automate運(yùn)行一組腳本，這些腳本將遍歷給定類(lèi)型的所有實(shí)例。發(fā)出適當(dāng)?shù)腛S命令以獲取并在每個(gè)實(shí)例上安裝更新，包括在維護(hù)窗口期間進(jìn)行的所有必需的重新啟動(dòng)
D.將所有應(yīng)用程序遷移到AWS OpsWorks，并使用OpsWorks自動(dòng)修補(bǔ)支持以使OS在初始安裝后保持最新?tīng)顟B(tài)。使用AWS Config提供審核和合規(guī)性報(bào)告