題目

A development team is creating an open source toolset to manage a company's software as a service (SaaS) application. The company stores the code in a public repository so that anyone can view and download the toolset's code. The company discovers that the code contains an IAM access key and secret key that provide access to internal resources in the company’s AWS environment. A security engineer must implement a solution to identify whether unauthorized usage of the exposed credentials has occurred. The solution also must prevent any additional usage of the exposed credentials.
Which combination of steps will meet these requirements? (Choose two.)
A. Use AWS Identity and Access Management Access Analyzer to determine which resources the exposed credentials accessed and who used them.
B. Deactivate the exposed IAM access key from the user’s IAM account.
C. Create a rule in Amazon GuardDuty to block the access key in the source code from being used.
D. Create a new IAM access key and secret key for the user whose credentials were exposed.
E. Generate an IAM credential report. Check the report to determine when the user that owns the access key last logged in.

  參考答案

AB

  需求概括

一個開發團隊正在創建一個開源工具集，用于管理公司的軟件即服務（SaaS）應用程序。公司將代碼存儲在公共存儲庫中，以便任何人都可以查看和下載該工具集的代碼。公司發現代碼中包含一個 IAM 訪問密鑰和秘密密鑰，這些密鑰可訪問公司 AWS 環境中的內部資源。安全工程師必須實施一個解決方案，以確定是否發生了未經授權使用泄露憑證的情況。該解決方案還必須防止泄露憑證的任何進一步使用。
哪些步驟組合將滿足這些要求？（選擇兩項。）
開發團隊開源工具集代碼存于公共庫，代碼泄露了可訪問公司 AWS 內部資源的 IAM 訪問密鑰和秘密密鑰，安全工程師要確定是否發生未經授權使用并防止進一步使用，需選滿足要求的兩個步驟組合。

  參考解析

技巧：排除明顯錯誤選項，在沒有明顯錯誤的選項中選擇最合理的選項。

A. 正確。使用 AWS Identity and Access Management Access Analyzer 確定泄露憑證訪問了哪些資源以及誰使用了它們。Access Analyzer 能分析資源訪問情況，幫助確定泄露憑證訪問的資源和使用者，滿足確定是否發生未經授權使用的要求。
B. 正確。從用戶的 IAM 賬戶中停用泄露的 IAM 訪問密鑰。停用泄露的訪問密鑰可直接阻止該密鑰的進一步使用，有效防止泄露憑證的任何額外使用，滿足防止進一步使用的要求。
C. 不正確。在 Amazon GuardDuty 中創建規則以阻止源代碼中的訪問密鑰被使用。GuardDuty 主要用于檢測威脅，不能直接阻止特定訪問密鑰的使用，無法滿足防止泄露憑證進一步使用的要求。
D. 不正確。為憑證泄露的用戶創建新的 IAM 訪問密鑰和秘密密鑰。創建新憑證后，但是不停用舊憑證無法防止泄露憑證的進一步使用。
E. 不正確。生成 IAM 憑證報告。檢查報告以確定擁有訪問密鑰的用戶最后一次登錄的時間。憑證報告主要提供憑證的最后使用時間等信息，不能直接確定是否發生了未經授權使用泄露憑證的情況，也無法防止憑證進一步使用。

  技術總結

AWS IAM：用于管理對 AWS 服務和資源的訪問，可創建用戶、組和角色，并分配權限。IAM 訪問密鑰和秘密密鑰用于身份驗證，以訪問 AWS 資源。
AWS IAM Access Analyzer：可分析 AWS 資源策略，識別可能允許外部實體訪問資源的配置，還能幫助確定哪些資源被訪問以及訪問者身份。
Amazon GuardDuty：一種威脅檢測服務，可持續監控 AWS 賬戶和網絡活動，檢測惡意活動和未經授權的行為，但本身不能直接阻止特定訪問密鑰的使用。
IAM 憑證管理：當憑證泄露時，可采取的措施包括停用泄露的訪問密鑰、為用戶創建新憑證等，以防止進一步未經授權的訪問。
IAM 憑證報告：生成包含賬戶中 IAM 用戶憑證相關信息的報告，如訪問密鑰的最后使用時間等，可用于審計和安全分析。

  官方參考文檔