A company has public certificates that are managed by AWS Certificate Manager (ACM). The certificates are either imported certificates or managed certificates from ACM with mixed validation methods. A security engineer needs to design a monitoring solution to provide alerts by email when a certificate is approaching its expiration date.
What is the MOST operationally efficient way to meet this requirement?
A. Create an AWS Lambda function to list all certificates and to go through each certificate to describe the certificate by using the AWS SDK. Filter on the NotAfter attribute and send an email notification. Use an Amazon EventBridge rate expression to schedule the Lambda function to run daily.
B. Create an Amazon CloudWatch alarm. Add all the certificate ARNs in the AWS/CertificateManager namespace to the DaysToExpiry metric. Configure the alarm to publish a notification to an Amazon Simple Notification Service (Amazon SNS) topic when the value
C. Set up AWS Security Hub. Turn on the AWS Foundational Security Best Practices standard with integrated ACM to send findings. Configure and use a custom action by creating a rule to match the pattern from the ACM findings on the NotBefore attribute as the event source. Create an Amazon Simple Notification Service (Amazon SNS) topic as the target.
D. Create an Amazon EventBridge rule by using a predefined pattern for ACM. Choose the metric in the ACM Certificate Approaching Expiration event as the event pattern. Create an Amazon Simple Notification Service (Amazon SNS) topic as the target.
D
一家公司在一个虚拟私有云(VPC)中配置了一个网关型虚拟私有云终端节点(gateway VPC endpoint)。只有位于该VPC中单个子网内的亚马逊弹性计算云(Amazon EC2)实例才能使用该终端节点。公司已修改此单个子网的路由表,以通过网关型VPC终端节点将流量路由至亚马逊简单存储服务(Amazon S3)。该VPC通过互联网网关提供互联网访问。一位安全工程师尝试使用来自EC2实例的实例配置文件凭证从S3存储桶中检索对象,但尝试失败。安全工程师验证了该EC2实例具有访问S3存储桶和检索对象的正确权限的IAM实例配置文件。安全工程师还验证了S3存储桶策略正确允许访问。此外,安全工程师验证了EC2实例的安全组和子网的网络访问控制列表(NACL)允许通信。
安全工程师还应检查什么来确定EC2实例发出的请求失败的原因?
公司在VPC配置网关型VPC终端节点,仅特定子网内EC2实例可用,修改该子网路由表通过终端节点路由流量至S3,VPC通过互联网网关提供互联网访问。安全工程师用EC2实例配置文件凭证从S3检索对象失败,已验证实例IAM配置文件、S3存储桶策略、实例安全组和子网NACL均允许访问,需找出请求失败的其他原因。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。创建一个 AWS Lambda 函数,使用 AWS SDK 列出所有证书,并遍历每个证书以描述证书。根据 NotAfter 属性进行过滤,并发送电子邮件通知。使用 Amazon EventBridge 速率表达式安排 Lambda 函数每天运行。这种方法虽然可行,但需要编写和维护自定义的 Lambda 函数代码,增加了操作复杂性和维护成本。同时,每天运行一次可能不够及时,无法在证书接近过期时立即发送警报。
B. 不正确。创建一个 Amazon CloudWatch 警报。将所有证书 ARN 添加到 AWS/CertificateManager 命名空间的 DaysToExpiry 指标中。配置警报在值达到阈值时向 Amazon Simple Notification Service (Amazon SNS) 主题发布通知。目前 ACM 的 DaysToExpiry 指标并非原生直接可用,无法直接基于此创建有效的 CloudWatch 警报来准确实现证书接近过期的监控与通知,操作上存在障碍。
C. 不正确。设置 AWS Security Hub。启用 AWS 基础安全最佳实践标准,集成 ACM 以发送发现结果。通过创建规则来匹配来自 ACM 发现结果的 NotBefore 属性作为事件源的模式,配置并使用自定义操作。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题作为目标。AWS Security Hub 主要用于安全态势管理和合规性检查,并非专门用于证书过期监控。
D. 正确。使用 ACM 的预定义模式创建一个 Amazon EventBridge 规则。选择 ACM 证书接近过期事件中的指标作为事件模式。创建一个 Amazon Simple Notification Service (Amazon SNS) 主题作为目标。这种方法利用了 ACM 的原生事件通知功能,无需编写自定义代码。通过 EventBridge 规则匹配证书接近过期事件,并触发 SNS 主题发送电子邮件通知,操作简单高效,能够及时在证书接近过期时发送警报。
AWS Certificate Manager (ACM):用于管理 SSL/TLS 证书,可自动处理证书的请求、部署和更新等操作,支持多种验证方法,如 DNS 验证、电子邮件验证等。
AWS Lambda:一种无服务器计算服务,可运行代码来响应事件,无需管理服务器。可用于执行自定义逻辑,如检查证书过期时间并发送通知。
Amazon EventBridge:一种事件总线服务,可连接不同的 AWS 服务和应用程序,允许基于事件触发工作流。可设置规则来匹配特定事件模式,并触发相应的操作。
Amazon CloudWatch:用于监控 AWS 资源和应用程序的性能指标、日志和事件。可创建警报来监控特定指标,并在指标达到阈值时触发通知。
Amazon Simple Notification Service (Amazon SNS):一种高度可扩展的发布 / 订阅消息传递服务,可用于向多个订阅者发送消息,如电子邮件、短信等。
AWS Security Hub:提供全面的安全态势管理和合规性检查服务,可集成多种 AWS 安全服务,并基于安全标准生成发现结果。