某公司在使用 AWS CloudTrail,希望确保系统管理员能够轻松地验证日志文件未被删除或更改。管理员应该采取什么操作来满足此要求?
A. 授予管理员对用于加密日志文件的 AWS Key Management Service (AWS KMS) 密钥的访问权限。
B. 在创建或更新跟踪时启用 CloudTrail 日志文件完整性验证。
C. 为存储日志文件的存储桶启用 Amazon S3 服务器访问日志记录。
D. 配置 S3 存储桶以将日志文件复制到其他存储桶。
B
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
在 AWS 环境中,确保 CloudTrail 日志文件的完整性和不可篡改性是非常重要的,特别是当需要验证日志文件未被删除或更改时。
A. 不正确。该方案虽然授予访问权限可以让管理员管理 KMS 密钥,但这并不直接解决验证日志文件完整性的问题。KMS 密钥主要用于加密和解密日志文件,而不是验证其完整性。
B. 正确。启用 CloudTrail 日志文件完整性验证是一个直接且有效的解决方案。当启用此功能时,CloudTrail 会为每个日志文件生成一个数字签名,并将其与日志文件一起存储在 Amazon S3 中。管理员可以使用 AWS 提供的工具来验证日志文件的完整性和真实性,从而确保它们未被删除或更改。 CloudTrail 日志文件完整性验证过程还会通知您某个日志文件是否已删除或已更改。
C. 不正确。没关联的选项。服务器访问日志记录可以记录对 S3 存储桶的访问情况,但它并不直接验证日志文件的完整性和真实性。此外,它也无法防止日志文件被删除。
D. 不正确。有缺陷的选项。将日志文件复制到其他存储桶可以提供额外的冗余和备份,但这同样不直接解决验证日志文件完整性的问题。而且,如果原始存储桶中的日志文件被删除或更改,复制操作也可能受到影响。