AWS SAP（awssap有啥用）

3 Parameter store

Parameter Store 是AWS Systems Manager (SSM) 的一项功能，为配置数据管理和密钥管理提供安全的分层存储。您可以将密码、数据库字符串、Amazon 系统映像(AMI) ID 和许可证代码等数据存储为参数值。值可以存储为纯文本或加密数据。有很大概率会出现在考试中，请注意与秘密管理员的区别。

3.1 基本特性

Serverless 服务使用SDK 调用API，可以自动与KMS 结合进行加密，并且具有版本和跟踪功能，可以触发CloudWatch 事件并在CloudFormation 中引用它们。

3.2 典型架构

配置开发和生产环境

4 AWS Secrets manager

AWS Secrets Manager 允许您在整个生命周期中管理、检索和轮换数据库凭证、应用程序凭证、OAuth 令牌、API 密钥和其他机密。许多AWS 服务将密钥存储在Secrets Manager 中。其加密还可以自动与KMS结合。请注意与参数存储的区别，考试时很大概率会问到此题。

4.1 基本特性

注意事项（这个和考试中的参数存储不同，但如果出现以下两种应用情况，基本都会选择Secrets Manager）。

可以使用Lambda自动生成密钥，并定期轮换密钥（如果发生密钥轮换，基本上就得选择Secrets Manager。也可以在Parameter Store中设计轮换。（但是比较麻烦）

示例：安全工程师确定现有应用程序正在从Amazon S3 中的加密文件获取Amazon RDS for MySQL 数据库的凭证，并进行以下应用程序设计更改以提高安全性（我希望实施：）。

数据库必须使用存储在安全AWS 托管服务中的随机生成的强密码。

应用程序资源必须通过AWS CloudFormation 部署。

应用程序必须每90 天轮换一次数据库凭据。

解决方案架构师生成CloudFormation 模板来部署您的应用程序。

CloudFormation 模板中指定的哪些资源可以满足安全工程师的要求，同时最大限度地减少运营开销？

A. 使用AWS Secrets Manager 生成数据库密码作为秘密资源。创建AWS Lambda 函数资源以轮换数据库密码并指定每90 天轮换一次数据库密码。

B. 使用AWS Systems Manager Parameter Store 将数据库密码生成为SecureString 参数类型。创建AWS Lambda 函数资源以轮换数据库密码，并指定Parameter Store RotationSchedule 资源以每90 天轮换一次数据库密码。

C. 使用AWS Secrets Manager 生成数据库密码作为秘密资源，创建AWS Lambda 函数资源以轮换数据库密码，并每90 天触发Lambda 函数的密码轮换。

D. 使用AWS Systems Manager Parameter Store 将数据库密码生成为SecureString 参数类型，并指定AWS AppSync DataSource 资源每90 天自动轮换一次数据库密码。

答案：A

答案分析：问题关键词：随机生成密码、凭证轮换。选项B 和D 对于密钥轮换而言过于复杂，因此只能选择选项A 或C。答案是A，因为将RotationSchedule 配置为自动轮转不需要EventBridge。

一家公司拥有一个基于Linux 的Amazon EC2 实例。用户必须使用EC2 SSH 密钥对才能访问实例。每台机器都需要唯一的EC2 密钥对。

该公司希望实施密钥轮换策略，根据请求自动轮换所有EC2 密钥对，并将密钥存储在安全、加密的位置。密钥轮换期间的停机时间少于1 分钟。

哪种解决方案满足这些要求？

A. 将所有密钥存储在AWS Secrets Manager 中，并调用AWS Lambda 函数来更新Secrets Manager 中的私钥。

B. 将所有密钥以字符串形式存储在Parameter Store（AWS Systems Manager 的一项功能）中，并调用AWS Lambda 函数来更新EC2 实例上的公钥。在参数存储中。

C. 将EC2 密钥对导入AWS Key Management Service (AWS KMS)，为这些密钥对配置自动密钥轮换，并调用AWS Lambda 函数以在AWS KMS 中启动密钥轮换。

D. 将所有EC2 实例添加到Fleet Manager。这是AWS Systems Manager 的一项功能，允许您发出Systems Manager 执行命令文档来生成新的密钥对并定义Systems Manager 维护时段以将公钥轮换到Fleet Manager 的所有实例。

答案：A

答案分析：本题需要维护不同批次的EC2密钥并自动轮换密钥。旋转周期小于1分钟。参考：https://aws.amazon.com/blogs/security/how-to-use-aws-secrets-manager-securely-store-rotate-ssh-key-pairs/。选项A的整个过程不需要您手动生成密钥。

与RDS 紧密集成

4.2 典型架构

与CloudFormation 集成

在帐户之间共享秘密

5 AWS Certificate manager（ACM）

AWS Certificate Manager (ACM) 处理创建、存储和更新公共和私有SSL/TLS X.509 证书和密钥的复杂操作，以保护您的AWS 网站和应用程序。您可以直接通过ACM颁发证书，也可以将第三方证书导入ACM管理系统，为集成的AWS服务提供证书。 ACM 显然是一个SSL/TLS X.509 证书和密钥管理平台。要真正理解ACM，我们首先需要澄清一些事情：SSL/TLS、SNI 和DNSSEC。

5.1 SSL/TLS、SNI、DNSSEC

5.1.1 SSL/TLS

在网络通信中，需要加密，因为HTTP通信实际上并不安全。 SSL/TLS（Secure Socket Layer/Transport Socket Layer）是Netscape公司开发的一种网络安全协议。它是使用公钥技术在传输通信协议(TCP/IP) 之上实现的安全协议。也就是说，可以通过SSL/TLS实现加密，而HTTPS则通过SSL/TLS技术提供安全加密。加密原理如下。

5.1.2 SNI

从图4.1.1我们可以看出，加密需要SSL证书，即所谓的安全证书。 SNI的特点是在同一个Web服务器上实现多个SSL证书。 AWS负载均衡服务ALB和NLB具有此功能，但CLB没有。

5.1.3 DNSSEC

下图说明了“中间人攻击”以及SSL加密的防御原理。

除了使用SSL 之外，此类中间人攻击的另一种方法是DNSSEC，但AWS Route53 不支持DNSSEC，除非您使用第三方DNS。

5.2 基本特性

管理和颁发证书的AWS 服务可以与多个组件集成，例如ELB、CloudFormation 和API Gateway。 公共证书：必须使用符合DNS 的主题名称。 私有证书：CA 可能在您的账户内，或者其他账户共享的共享证书的续订可以委托给ACM 进行管理，仅在单个区域内而不是跨区域进行管理。

6 AWS CloudHSM

AWS CloudHSM 将AWS 云的优势与硬件安全模块(HSM) 的安全性相结合。硬件安全模块(HSM) 是一种处理加密操作并提供加密密钥安全存储的计算设备。 AWS CloudHSM 使您能够完全控制AWS 云中高度可用的HSM，并具有低延迟访问和安全信任根，可自动执行HSM 管理，包括备份、预配置、预配置和维护。简单来说，它是KMS的硬件版本。请记住以下功能以及与KMS 的比较：

6.1 基本特性

它是一种基于硬件的加密工具，支持对称和非对称加密密钥，不能托管在AWS 上。 CloudHSM 客户端软件不是免费的。注意：S3 存储加密正在考试并具有SSE。在S3 和CloudHSM 之间进行选择。 CloudHSM 是付费的，并不是最便宜的选择）

6.2 与KMS比较

7 AWS Inspector

Amazon Inspector 是一项漏洞管理服务，可持续扫描AWS 工作负载以检测软件漏洞和意外网络暴露。 Amazon Inspector 自动发现并扫描正在运行的Amazon EC2 实例、Amazon Elastic Container Registry (Amazon ECR) 容器映像和AWS Lambda 函数，以检测已知的软件漏洞和意外网络泄漏。请注意以下事项：

漏洞规则仅用于EC2、ECR 和Lambda 漏洞扫描，是AWS 管理层生成的最终报告。

8 Amazon GuardDuty

Amazon GuardDuty 是一项安全监控服务，可分析和处理AWS CloudTrail 管理基于事件的数据源、AWS CloudTrail 事件日志、VPC 流日志（来自Amazon EC2 实例）和DNS 日志。它还处理Kubernetes 审核日志、RDS 登录活动、S3 日志、EBS 卷、运行时监控和Lambda 网络活动日志等功能。简单来说，它是一个以日志为输入，利用机器学习等算法分析异常，并通过CloudWatch发出警告的安全监控工具。

9 AWS Systems Manager（SSM）

AWS Systems Manager 是AWS 应用程序和资源的运营中心，也是混合和多云环境的安全端到端管理解决方案，可实现大规模安全运营。简而言之，它是一个允许您管理EC2 和本地数据中心服务器操作系统的平台。

9.1 特性

管理EC2 或本地数据中心服务器，检测基础设施中的安全问题，并更新服务器上的补丁（注意：考试期间遇到的补丁主要与SSM 相关）

解决方案架构师必须为Windows 和Linux 服务器的混合制定大规模修补计划。修补计划必须安全实施、经过审核并且符合公司的业务要求。哪个选项可以用最少的努力满足这些要求？

A. 安装并使用操作系统本机修补服务来管理所有实例的更新频率和发布批准。使用AWS Config 检查每个实例的操作系统运行状况并报告补丁合规性问题。

B. 在所有实例上使用AWS Systems Manager 管理补丁、在生产之外测试补丁，并在获得适当批准的情况下部署维护时段。

C. 使用AWS OpsWorks for Chef Automate 运行一组脚本来迭代特定类型的所有实例。在维护时段期间，发出适当的操作系统命令以在每个实例上检索和安装更新，包括任何所需的重新启动。

D. 将所有应用程序迁移到AWS Ops Works 并使用Ops Works 的自动修补支持使操作系统在初始安装后保持最新状态。使用AWS Config 提供审核和合规性报告。

答案：B

答案分析：本题关键词：Windows和Linux服务器、补丁规划、最小努力。我们将主要考虑AWS Config、Systems Manager 和OpsWorks 的使用场景。 AWS Config 主要用于配置管理，OpsWorks 还提供补丁更新，供将Puppet 或Chef 迁移到AWS 云时使用。但是，如果AWS 不专注于Puppet 或Chef 迁移，则补丁修复建议是使用Systems。经理(https://docs.aws.amazon.com /zh_cn/opsworks/latest/userguide/workingsecurity-updates.html)。 Systems Manager 的重要功能之一是更新服务器上的补丁。因此，选择B。

示例：一家公司需要在其服务器上实施修补过程。本地服务器和Amazon EC2 实例使用不同的工具来执行修补。

管理需要一份显示所有服务器和实例的补丁状态的单一报告。

解决方案架构师应该执行哪些操作来满足这些要求？

答：使用AWS Systems Manager 管理本地服务器和EC2 实例的补丁并生成补丁合规性报告。

B. 使用AWS OpsWorks 管理本地服务器和EC2 实例的补丁，并使用Amazon QuickSight 和OpsWorks 集成生成补丁合规性报告。

C. 使用Amazon EventBridge (Amazon CloudWatch Events) 规则安排AWS Systems Manager 补丁修复作业并使用Amazon Inspector 生成补丁合规性报告。

D. 使用AWS OpsWorks 管理本地服务器和EC2 实例的补丁，使用AWS X-Ray 将补丁状态发送到AWS Systems Manager OpsCenter，并生成补丁合规性报告。

答案：A

答案分析：本题需要更新本地和EC2补丁。 OpsWorks 主要用于配置管理，EventBridge 就像一条将应用程序组件连接在一起的总线。 Systems Manager本身具有修补功能

适用于Windows 和Linux 操作系统集成CloudWatch 指标/仪表板/AWS ConfigSession Manager：允许您管理Amazon Elastic Compute Cloud (Amazon EC2) 实例、边缘设备、本地服务器和虚拟机(VM)。您可以使用一键式、基于浏览器的交互式shell 或AWS 命令行界面(AWS CLI)。会话管理器提供安全且可审核的节点管理，无需打开入站端口、维护堡垒主机或管理SSH 密钥。

示例：一家初创公司使用最新的Amazon Linux 2 AMI 在私有子网中托管一组Amazon EC2 实例。该公司的工程师严重依赖SSH 访问实例来进行故障排除。

公司现有架构包括：

具有私有和公有子网以及NAT 网关的VPC

用于与本地环境连接的站点到站点VPN

可从本地直接通过SSH 访问的EC2 安全组

nvironment
The company needs to increase security controls around SSH access and provide auditing of commands run by the engineers.
Which strategy should a solutions architect use?
A. Install and configure EC2 Instance Connect on the fleet of EC2 instances. Remove all security group rules attached to EC2 instances that allow inbound TCP on port 22. Advise the engineers to remotely access the instances by using the EC2 Instance Connect CLI.
B. Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Install the Amazon CloudWatch agent on all EC2 instances and send operating system audit logs to CloudWatch Logs.
C. Update the EC2 security groups to only allow inbound TCP on port 22 to the IP addresses of the engineer’s devices. Enable AWS Config for EC2 security group resource changes. Enable AWS Firewall Manager and apply a security group policy that automatically remediates changes to rules.
D. Create an IAM role with the AmazonSSMManagedInstanceCore managed policy attached. Attach the IAM role to all the EC2 instances. Remove all security group rules attached to the EC2 instances that allow inbound TCP on port 22. Have the engineers install the AWS Systems Manager Session Manager plugin for their devices and remotely access the instances by using the start-session API call from Systems Manager
答案：D
答案解析：题目要求管理SSH登录，最好的就是使用Systems Manager的Session Manager方案，参考：https://docs.aws.amazon.com//systems-manager/latest/userguide/session-manager.html

例题：A research company is running daily simulations in the AWS Cloud to meet high demand. The simulations run on several hundred Amazon EC2 instances that are based on Amazon Linux 2. Occasionally, a simulation gets stuck and requires a cloud operations engineer to solve the problem by connecting to an EC2 instance through SSH.
Company policy states that no EC2 instance can use the same SSH key and that all connections must be logged in AWS CloudTrail.
How can a solutions architect meet these requirements?
A. Launch new EC2 instances, and generate an individual SSH key for each instance. Store the SSH key in AWS Secrets Manager. Create a new IAM policy, and attach it to the engineers’ IAM role with an Allow statement for the GetSecretValue action. Instruct the engineers to fetch the SSH key from Secrets Manager when they connect through any SSH client.
B. Create an AWS Systems Manager document to run commands on EC2 instances to set a new unique SSH key. Create a new IAM policy, and attach it to the engineers’ IAM role with an Allow statement to run Systems Manager documents. Instruct the engineers to run the document to set an SSH key and to connect through any SSH client.
C. Launch new EC2 instances without setting up any SSH key for the instances. Set up EC2 Instance Connect on each instance. Create a new IAM policy, and attach it to the engineers’ IAM role with an Allow statement for the SendSSHPublicKey action. Instruct the engineers to connect to the instance by using a browser-based SSH client from the EC2 console.
D. Set up AWS Secrets Manager to store the EC2 SSH key. Create a new AWS Lambda function to create a new SSH key and to call AWS Systems Manager Session Manager to set the SSH key on the EC2 instance. Configure Secrets Manager to use the Lambda function for automatic rotation once daily. Instruct the engineers to fetch the SSH key from Secrets Manager when they connect through any SSH client.
答案：D
答案解析：要求不需要使用SSH直接登录，那么使用Systems Manager的Session Manager方案是最好的方案，参考：https://docs.aws.amazon.com//systems-manager/latest/userguide/session-manager.html

例题：A company’s AWS architecture currently uses access keys and secret access keys stored on each instance to access AWS services. Database credentials are hard-coded on each instance. SSH keys for command-line remote access are stored in a secured Amazon S3 bucket. The company has asked its solutions architect to improve the security posture of the architecture without adding operational complexity.
Which combination of steps should the solutions architect take to accomplish this? (Choose three.)
A. Use Amazon EC2 instance profiles with an IAM role
B. Use AWS Secrets Manager to store access keys and secret access keys
C. Use AWS Systems Manager Parameter Store to store database credentials
D. Use a secure fleet of Amazon EC2 bastion hosts for remote access
E. Use AWS KMS to store database credentials
F. Use AWS Systems Manager Session Manager for remote access
答案：ACF
答案解析：题目要改进安全访问EC2方式。因此使用Systems Manager Session Manager是最合适，因此步骤是ACF。

9.2 工作原理

在操作系统中安装SSM AgentEC2还需要授权角色给SSM

9.3 Run Command

可以执行document、script、command同时给多台实例执行命令不需要使用SSH（而是通过SSM Agent）

9.4 Systems Manager Parameter Store

请参照本章的第3点《3 Parameter store》。

10 AWS Security Hub

AWS Security Hub 可让您全面了解您的安全状态AWS并帮助您评估您的AWS环境与安全行业标准和最佳实践背道而驰。简单来说就是评估你AWS上面存在的一些可能的安全隐患（这个安全隐患是行业一些标准或者实践）。

支持多账号安全管理（注意：如果出现多账号环境安全状态评估，一般与Security Hub相关）能够自动查找更新和补救措施与Control Tower的区别，都是做安全合规的，但是有一个最大区别Control Tower是检测权限是否泄漏，Security Hub是检测是否存在安全隐患。（注意：考试中经常选项会同时出现Control Tower和Security Hub，请注意2者使用场景）

11 Amazon Detective

Amazon Detective 可帮助您分析、调查和快速识别安全结果或可疑活动的根本原因。Detective 会自动从您的AWS资源中收集日志数据。然后，它使用机器学习、统计分析和图论来生成可视化效果，帮助您更快、更高效地进行安全调查。
当你使用7 GuardDuty、Security Hub等工具发现出问题，需要知道详细造成问题的原因，那么就需要Detective，它提供可视化的日志分析，最终让你迅速发现问题所在。

12 Amazon Macie

Amazon Macie 是一项数据安全服务，该服务使用机器学习和模式匹配来发现敏感数据，提供对数据安全风险的可见性，并实现针对这些风险的自动防护。

13 AWS组件内的安全

13.1 Web Server 集成SSL

基于ALB的SSL加密

例题：A company is planning to host a web application on AWS and wants to load balance the traffic across a group of Amazon EC2 instances. One of the security requirements is to enable end-to-end encryption in transit between the client and the web server.Which solution will meet this requirement?
A. Place the EC2 instances behind an Application Load Balancer (ALB). Provision an SSL certificate using AWS Certificate Manager (ACM), and associate the SSL certificate with the ALB. Export the SSL certificate and install it on each EC2 instance. Configure the ALB to listen on port 443 and to forward traffic to port 443 on the instances.
B. Associate the EC2 instances with a target group. Provision an SSL certificate using AWS Certificate Manager (ACM). Create an Amazon CloudFront distribution and configure it to use the SSL certificate. Set CloudFront to use the target group as the origin server.
C. Place the EC2 instances behind an Application Load Balancer (ALB) Provision an SSL certificate using AWS Certificate Manager (ACM), and associate the SSL certificate with the ALB. Provision a third-party SSL certificate and install it on each EC2 instance. Configure the ALB to listen on port 443 and to forward traffic to port 443 on the instances.
D. Place the EC2 instances behind a Network Load Balancer (NLB). Provision a third-party SSL certificate and install it on the NLB and on each EC2 instance. Configure the NLB to listen on port 443 and to forward traffic to port 443 on the instances.
答案：C
答案解析：Amazon颁发的公共证书不能安装在EC2实例上。启用端到端加密时，必须使用第三方SSL证书，所以是C或D。而D会存在可能有被入侵风险，如果加入CloudHSM管理则可避免。因此答案选择C。

基于NLB在EC2进行SSL加密（缺点：证书会绑定在EC2，可能有被入侵风险，使用CloudHSM可以避免该风险）
基于CloudHSM对EC2进行SSL加密

13.2 RDS security

关于RDS的安全方面，需要知道以下几点：

Transparent Data Encryption（TDE）只能适合Oracle和SQL ServerSSL 加密RDS，适用于所有数据库IAM可以用于MySQL和PostgreSQL，但实际验证还需要RDS本身CloudTrail不能用于查询RDS

13.3 S3 security

13.3.1 四种加密方式

SSE-S3：有AWS自动加密S3对象，密钥管理完全有AWS管理SSE-KMS：有KMS做加密密钥管理SSE-C：自己管理密钥Client Side Encryption：完全有自己管理密钥平台
另外：还有Glacier（本身使用AEC-256加密）
建议：使用HTTPS作为endpoint，因为HTTPS强制使用SSE-C

13.3.2 S3的Events

S2 Access Logs：记录对于S3存储桶的所有请求操作S3 Events Notifications：属于监控桶级别的通知，可用于监听通知Trusted Advisor：检查S3存储桶的权限（当存储桶为public情况下）CloudWatch Events：属于监控对象级别的通知

13.3.3 S3的安全

用户层面：基于IAM policies控制资源层面：基于bucket policies或者ACL。其中bucket policies为考试重点，可以跨账户授权

13.3.4 其它相关安全措施

S3 pre-signed URLs：生成一个pre-signed URLs，用于上传和下载。一般用于临时权限，有时间限制。Endpoint Gateway：这个在网络那一章讲过，通过Endpoint Gateway可以让VPC通过内网方式访问S3，更加安全可靠，但不能传递边缘路由。对象锁定：借助 S3 对象锁定，您可以使用一次写入，多次读取 (WORM) 模式存储对象。对象锁定可帮助防止在固定的时间段内或无限期地删除或覆盖对象。可以使用对象锁定来帮助您满足需要 WORM 存储的法规要求，或只是添加另一个保护层来防止对象被更改和删除。

13.4 Network Security, DDoS, Shield & WAF

关于网络安全方面，在网络那一章分散讲过一些，这里系统讲一下

13.4.1 Network Security

如上图，有3个安全管理的内容：

NACL：网络访问控制列表 (ACL) 在子网级别允许或拒绝特定的入站或出站流量。您可以使用 VPC 的默认网络 ACL，也可以为 VPC 创建自定义网络 ACL，使其规则与您安全组的规则相似，以便为您的 VPC 添加额外安全层。注意：NACL是无状态（意味着入出都需要定义规则）安全组：这不是VPC，这是EC2、ALB等自带的安全组，也是用于控制网络访问。注意：安全组是有状态的（意味着定义入流量，自动允许响应）Firewall：EC2本身的防火墙

13.4.2 DDoS&Shield

基本概念：通过大量机器的访问导致你的web服务请求或者连接占满，导致正常用户无法访问类别：SYN Flood、UDP Reflection、DNS flood attack、Slow Loris attackAWS的防御措施：AWS Shield Standard、AWS Shield Advanced、AWS WAF（考试经常出现）CloudFront和Route53默认能够预防DDoS攻击

例题：A company maintains a restaurant review website. The website is a single-page application where files are stored in Amazon S3 and delivered using Amazon CloudFront. The company receives several fake postings every day that are manually removed. The security team has identified that most of the fake posts are from bots with IP addresses that have a bad reputation within the same global region. The team needs to create a solution to help restrict the bots from accessing the website. Which strategy should a solutions architect use?
A. Use AWS Firewall Manager to control the CloudFront distribution security settings. Create a geographical block rule and associate it with Firewall Manager.
B. Associate an AWS WAF web ACL with the CloudFront distribution. Select the managed Amazon IP reputation rule group for the web ACL with a deny action.
C. Use AWS Firewall Manager to control the CloudFront distribution security settings. Select the managed Amazon IP reputation rule group and associate it with Firewall Manager with a deny action.
D. Associate an AWS WAF web ACL with the CloudFront distribution. Create a rule group for the web ACL with a geographical match statement with a deny action.
答案：B
答案解析：题目要求阻止来说某些IP。参考：https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html

例题：A company has a website that runs on Amazon EC2 instances behind an Application Load Balancer (ALB). The instances are in an Auto Scaling group. The ALB is associated with an AWS WAF web ACL.
The website often encounters attacks in the application layer. The attacks produce sudden and significant increases in traffic on the application server. The access logs show that each attack originates from different IP addresses. A solutions architect needs to implement a solution to mitigate these attacks.
Which solution will meet these requirements with the LEAST operational overhead?
A. Create an Amazon CloudWatch alarm that monitors server access. Set a threshold based on access by IP address. Configure an alarm action that adds the IP address to the web ACL’s deny list.
B. Deploy AWS Shield Advanced in addition to AWS WAF. Add the ALB as a protected resource.
C. Create an Amazon CloudWatch alarm that monitors user IP addresses. Set a threshold based on access by IP address. Configure the alarm to invoke an AWS Lambda function to add a deny rule in the application server’s subnet route table for any IP addresses that activate the alarm.
D. Inspect access logs to find a pattern of IP addresses that launched the attacks. Use an Amazon Route 53 geolocation routing policy to deny traffic from the countries that host those IP addresses.
答案：B
答案解析：题目出现大量不同地方IP攻击，很明显是一个DDos攻击，因此使用Shield 防御DDos。因此选择B选项

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

#以上关于AWS SAP的相关内容来源网络仅供参考，相关信息请以官方公告为准！