考题解析 | 使用 Amazon Macie 保护个人敏感信息


  题目

A company has an application that provides marketing services to stores. The services are based on previous purchases by store customers. The stores upload transaction data to the company through SFTP, and the data is processed and analyzed to generate new marketing offers. Some of the files can exceed 200 GB in size.
Recently, the company discovered that some of the stores have uploaded files that contain personally identifiable information (PII) that should not have been included. The company wants administrators to be alerted if PII is shared again. The company also wants to automate remediation.
What should a solutions architect do to meet these requirements with the LEAST development effort?
A. Use an Amazon S3 bucket as a secure transfer point. Use Amazon Inspector to scan the objects in the bucket. If objects contain PII, trigger an S3 Lifecycle policy to remove the objects that contain PII.
B. Use an Amazon S3 bucket as a secure transfer point. Use Amazon Macie to scan the objects in the bucket. If objects contain PII, use Amazon Simple Notification Service (Amazon SNS) to trigger a notification to the administrators to remove the objects that contain PII.
C. Implement custom scanning algorithms in an AWS Lambda function. Trigger the function when objects are loaded into the bucket. If objects contain PII, use Amazon Simple Notification Service (Amazon SNS) to trigger a notification to the administrators to remove the objects that contain PII.
D. Implement custom scanning algorithms in an AWS Lambda function. Trigger the function when objects are loaded into the bucket. If objects contain PII, use Amazon Simple Email Service (Amazon SES) to trigger a notification to the administrators and trigger an S3 Lifecycle policy to remove the meats that contain PII.

  参考答案

B

  参考解析

技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
一家公司有一个为商店提供营销服务的应用程序。这些服务基于商店客户之前的购买记录。商店通过 SFTP 将交易数据上传到公司,并对数据进行处理和分析,以生成新的营销报价。有些文件的大小可能超过 200 GB。最近,该公司发现,一些商店上传了包含不应包含的个人身份信息(PII)的文件。如果 PII 再次被共享,该公司希望管理员收到警报。该公司还希望实现自动修复。
解决方案架构师应该做些什么来以最少的开发工作满足这些要求?

A. 不正确。使用 Amazon S3 存储桶作为安全传输点。使用 Amazon Inspector 扫描存储桶中的对象。如果对象包含 PII,触发 S3 生命周期策略以删除包含 PII 的对象。Amazon Inspector 主要用于评估应用程序的运行时安全性,例如查找应用程序中的漏洞,而不是用于扫描数据文件中的 PII。因此,使用 Amazon Inspector 来扫描 S3 存储桶中的 PII 是不合适的。此外,S3 生命周期策略主要用于管理对象的存储类别和过期时间,而不是用于基于内容的删除。
B. 正确。使用 Amazon S3 存储桶作为安全传输点。使用 Amazon Macie 扫描存储桶中的对象。如果对象包含 PII,使用 Amazon Simple Notification Service (Amazon SNS) 触发通知给管理员以删除包含 PII 的对象。Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它使用机器学习和模式匹配来发现、分类和保护 Amazon S3 中的敏感数据。能够自动扫描上传到 S3 的文件中的 PII。如果检测到 PII,可以使用 Amazon SNS 发送通知给管理员。此选项没有直接提到自动化修复,但它是四个选项中最接近题目要求(自动检测和警报)的,且修复过程可以通过进一步自动化(如使用 AWS Lambda 和 S3 事件通知)来实现。
C. 不正确。在 AWS Lambda 函数中实现自定义扫描算法。当对象加载到存储桶时触发该函数。如果对象包含 PII,使用 Amazon Simple Notification Service (Amazon SNS) 触发通知给管理员以删除包含 PII 的对象。该方案可以实现 PII 的检测和警报,但它需要开发自定义的扫描算法,这增加了开发工作量和复杂性。相比之下,使用 Amazon Macie 可以避免这种开发工作。
D. 不正确。在 AWS Lambda 函数中实现自定义扫描算法。当对象加载到存储桶时触发该函数。如果对象包含 PII,使用 Amazon Simple Email Service (Amazon SES) 触发通知给管理员,并触发 S3 生命周期策略以删除包含 PII 的对象。该方案与选项 C 类似,这种方法也需要开发自定义的扫描算法。此外,S3 生命周期策略不适用于基于内容的删除,因此这一部分是不正确的。