Q55 — AWS DEA-C01 第1章
第 55/100 题 | ← 返回第1章
一家公司以 Amazon S3 对象形式接收呼叫日志,其中包含敏感客户信息。公司必须使用加密来保护这些 S3 对象。公司还必须使用仅特定员工可访问的加密密钥。
- A. 使用 AWS CloudHSM 集群存储加密密钥。配置写入 Amazon S3 的流程,调用 CloudHSM 加密和解密对象。部署限制访问 CloudHSM 集群的 IAM 策略。
- B. 使用客户提供的密钥进行服务器端加密(SSE-C)来加密包含客户信息的对象。限制访问加密对象所用密钥的权限。
- C. 使用 AWS KMS 密钥进行服务器端加密(SSE-KMS)来加密包含客户信息的对象。配置限制访问加密对象所用 KMS 密钥的 IAM 策略。 ✓
- D. 使用 Amazon S3 托管密钥进行服务器端加密(SSE-S3)来加密包含客户信息的对象。配置限制访问 Amazon S3 托管密钥的 IAM 策略。
正确答案: C. 使用 AWS KMS 密钥进行服务器端加密(SSE-KMS)来加密包含客户信息的对象。配置限制访问加密对象所用 KMS 密钥的 IAM 策略。
解析
AWS S3加密方式中,SSE-KMS(服务器端加密结合AWS KMS密钥)通过KMS服务管理加密密钥,支持基于IAM策略的细粒度访问控制。KMS天然与S3集成,无需额外架构调整或密钥管理基础设施。SSE-C需自行管理密钥分发和访问,增加复杂度;SSE-S3无法独立限制密钥访问权限;CloudHSM需定制加密逻辑和集群维护。根据AWS安全最佳实践,SSE-KMS在密钥管理与访问控制上提供最优自动化程度,符合最小实施成本要求。