A company maintains an open-source application that is hosted on a public GitHub repository.
While creating a new commit to the repository, an engineer uploaded their AWS access key and secret access key. The engineer reported the mistake to a manager, and the manager immediately disabled the access key. The company needs to assess the impact of the exposed access key. A security engineer must recommend a solution that requires the least possible managerial overhead.
Which solution meets these requirements?
A. Analyze an AWS Identity and Access Management (IAM) use report from AWS Trusted Advisor to see when the access key was last used.
B. Analyze Amazon CloudWatch Logs for activity by searching for the access key.
C. Analyze VPC flow logs for activity by searching for the access key.
D. Analyze a credential report in AWS Identity and Access Management (IAM) to see when the access key was last used.
D
一家公司在公共 GitHub 仓库中维护一个开源应用程序。工程师在向仓库创建新提交时,上传了他们的 AWS 访问密钥和秘密访问密钥。工程师向经理报告了这一错误,经理立即禁用了该访问密钥。公司需要评估暴露的访问密钥的影响。安全工程师必须推荐一个需要最少管理开销的解决方案。
如何以最低管理成本评估已暴露且已禁用的 AWS 访问密钥的使用情况?需快速确定密钥是否被恶意使用,避免潜在安全风险,而且解决方案自动化程度高,无需复杂配置或持续监控。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。分析 AWS Trusted Advisor 中的 AWS Identity and Access Management (IAM)使用报告,查看访问密钥的最后使用时间。Trusted Advisor 的 IAM 使用报告功能有限,不包含详细的最后使用时间信息。
B. 不正确。通过搜索访问密钥来分析 Amazon CloudWatch Logs 中的活动。此方案要求 CloudWatch Logs 已提前配置为记录所有 API 调用,否则无法追溯历史活动,且管理成本较高。
C. 不正确。通过搜索访问密钥来分析 VPC 流日志中的活动。VPC Flow Logs 记录网络流量,无法直接关联到特定访问密钥的使用,不适合用于评估密钥暴露影响。
D. 正确。分析 AWS Identity and Access Management (IAM)中的凭证报告,查看访问密钥的最后使用时间。IAM 凭证报告直接提供所有访问密钥的详细状态信息,包括最后使用时间,无需额外配置,完全符合最低管理开销的要求。
AWS IAM 凭证报告:提供所有访问密钥的最后使用时间、状态等详细信息。
AWS Trusted Advisor:提供安全最佳实践检查,但 IAM 使用报告功能有限。
Amazon CloudWatch Logs:需提前配置日志记录,否则无法追溯历史活动。
VPC Flow Logs:记录网络流量,但无法直接关联到特定访问密钥的使用。