Q72 — AWS DVA-C02 第1章
第 72/100 問 | ← 第1章
开发人员正在部署一个将文件存储在Amazon S3存储桶中的应用程序。这些文件必须在静态时加密。开发人员希望将文件复制到不同AWS区域中的S3存储桶以实现灾难恢复。开发人员如何以最少的配置完成此项任务?
- A. 使用带有S3托管加密密钥(SSE-S3)的服务器端加密来加密文件。启用S3存储桶复制。 ✓
- B. 使用服务器端加密(SSE)和AWS Key Management Service(AWS KMS)客户主密钥(CMK)来加密文件。启用S3存储桶复制。
- C. 使用s3sync命令将文件同步到其他Region的S3 bucket中。
- D. 配置S3生命周期配置以自动将文件传输到其他区域中的S3存储桶。
正解: A. 使用带有S3托管加密密钥(SSE-S3)的服务器端加密来加密文件。启用S3存储桶复制。
解説
应选择A,因为SSE-S3是Amazon S3默认且最简化的静态加密方式,无需额外管理密钥;启用S3跨区域复制(CRR)即可自动、异步地将对象及其SSE-S3加密状态复制到目标区域,配置最少且完全托管。选项B需额外配置和管理KMS CMK,增加复杂性;选项C为手动/脚本化操作,不可靠且非托管;选项D的S3生命周期不支持跨区域传输,仅支持生命周期阶段转换(如转储至Glacier)或过期删除。 【灯笼考证提供:swufelp1999】