使用AWS服务实现90天未旋转密钥的通知解决方案

"这是一份关于AWS DevOps Engineer Professional (DOP-C02)认证考试的复习资料，由csdn博主rongyili88提供，包含了一部分试题内容，主要涉及AWS服务的使用，特别是AWS Key Management Service (AWS KMS) 和安全策略。" 在AWS DevOps Engineer Professional (DOP-C02)的认证考试中，了解和掌握如何有效地管理和监控AWS资源至关重要。在给定的描述中，提到了一个特定的安全需求：当任何AWS KMS密钥在90天后未进行旋转时，安全团队希望得到通知。这是一个典型的云安全和合规性问题，需要选择正确的解决方案。 选项分析如下： A: 配置AWS KMS在密钥超过90天时发布到Amazon Simple Notification Service (Amazon SNS) 主题 - AWS KMS本身并不直接提供这种触发通知的功能。 B: 配置一个Amazon EventBridge事件来启动一个AWS Lambda函数，调用AWS Trusted Advisor API，并将结果发布到Amazon SNS主题 - 这个选项是正确答案。通过EventBridge可以设置定时任务，Lambda函数可以检查Trusted Advisor的建议，如果发现90天未旋转的密钥，就会触发SNS通知。 C: 开发一个AWS Config自定义规则，当密钥超过90天时发布到Amazon SNS主题 - 虽然AWS Config可以监控资源配置和变更，但创建自定义规则可能较为复杂，不如直接使用Trusted Advisor简单有效。 D: 配置AWS Security Hub在密钥超过90天时发布到Amazon SNS主题 - Security Hub主要关注安全和合规性的警报，但它并不直接提供检测特定AWS KMS密钥旋转情况的功能。 解释：选项B是最佳解决方案，因为它利用了Amazon EventBridge的事件驱动架构和AWS Trusted Advisor的自动化检查功能。EventBridge可以定期触发Lambda函数，该函数调用Trusted Advisor API来检查密钥旋转状态。如果发现任何超过90天未旋转的密钥，Lambda会发布消息到SNS主题，从而通知安全团队。 AWS DevOps Engineer应熟悉这些服务的集成，以实现高效的自动化流程，确保合规性和安全性。这包括理解如何配置和使用AWS KMS进行密钥管理，利用AWS Lambda处理事件，使用Amazon SNS进行通知，以及如何利用Amazon EventBridge和AWS Trusted Advisor进行监控和自动化。同时，对于DevOps专业人士来说，理解不同服务间的交互，以及如何构建可扩展、安全和自动化的云基础设施是非常重要的。