"这是一份关于AWS DevOps Engineer Professional (DOP-C02)认证考试的复习资料,由csdn博主rongyili88提供,包含了一部分试题内容,主要涉及AWS服务的使用,特别是AWS Key Management Service (AWS KMS) 和安全策略。"
在AWS DevOps Engineer Professional (DOP-C02)的认证考试中,了解和掌握如何有效地管理和监控AWS资源至关重要。在给定的描述中,提到了一个特定的安全需求:当任何AWS KMS密钥在90天后未进行旋转时,安全团队希望得到通知。这是一个典型的云安全和合规性问题,需要选择正确的解决方案。
选项分析如下:
A: 配置AWS KMS在密钥超过90天时发布到Amazon Simple Notification Service (Amazon SNS) 主题 - AWS KMS本身并不直接提供这种触发通知的功能。
B: 配置一个Amazon EventBridge事件来启动一个AWS Lambda函数,调用AWS Trusted Advisor API,并将结果发布到Amazon SNS主题 - 这个选项是正确答案。通过EventBridge可以设置定时任务,Lambda函数可以检查Trusted Advisor的建议,如果发现90天未旋转的密钥,就会触发SNS通知。
C: 开发一个AWS Config自定义规则,当密钥超过90天时发布到Amazon SNS主题 - 虽然AWS Config可以监控资源配置和变更,但创建自定义规则可能较为复杂,不如直接使用Trusted Advisor简单有效。
D: 配置AWS Security Hub在密钥超过90天时发布到Amazon SNS主题 - Security Hub主要关注安全和合规性的警报,但它并不直接提供检测特定AWS KMS密钥旋转情况的功能。
解释:选项B是最佳解决方案,因为它利用了Amazon EventBridge的事件驱动架构和AWS Trusted Advisor的自动化检查功能。EventBridge可以定期触发Lambda函数,该函数调用Trusted Advisor API来检查密钥旋转状态。如果发现任何超过90天未旋转的密钥,Lambda会发布消息到SNS主题,从而通知安全团队。
AWS DevOps Engineer应熟悉这些服务的集成,以实现高效的自动化流程,确保合规性和安全性。这包括理解如何配置和使用AWS KMS进行密钥管理,利用AWS Lambda处理事件,使用Amazon SNS进行通知,以及如何利用Amazon EventBridge和AWS Trusted Advisor进行监控和自动化。同时,对于DevOps专业人士来说,理解不同服务间的交互,以及如何构建可扩展、安全和自动化的云基础设施是非常重要的。