Q26 — AWS DOP-C02 第1章
第 26/100 题 | ← 返回第1章
一家公司将应难程序日志发布到us-east-1区域中的Amazon CloudWatch Logs日志组。公司需要每周将日志美us-east-1导出到us-west-2 Re-gion。日志客间在满个区域中加其。 哪种解决方案可以两足这些要求?
- A. 在us-west-2中创建一个Amazon S3存储桶。使用Amazon S3托管加密密钥(SSE-S3)为S3存储桶配置 服务器端加密。创建并安排一个AWS Lambda函数每周运行一次,以将上周的CloudWatch日志导出到us- West-2中的S3存储桶。
- B. 在us-west-2中创建一个Amazon S3存储桶。使用AWSKMS密钥(SSE-KMS)为S3存储桶配置服务器 端加密。创建并安排一个AWS Lambda函数每周运行一次,以将上周的CloudWatch日志导出到us-west-2 中的S3存储桶。
- C. 在us-east-1中创建一个Amazon S3存储桶。在us-west-2中创建一个S3存储桶。使用Amazon S3托管 加密密钥(SSE-S3)配置服务器端加密并为两个S3存储桶启用版本控制。创建并安排一个AWSLambda函 数每周运行一次,以将上周的CloudWatch日志导出到us-east-1中的S3存储桶。在us-east-1中的S3存储桶 上配置复制规则,将日志复制到us-west-2中的S3存储桶中。
- D. 在us-east-1中创建一个Amazon S3存储桶。在us-west-2中创建一个S3存储桶。使用AWSKMS密钥 (SSE-KMS)配置服务器端加密并为两个S3存储桶启用版本控制。创建并安排一个AWSLambda函数每周运 行一次,以将上周的CloudWatch日志导出到us-east-1中的S3存储桶。在us-east-1中的S3存储桶上配置复 制规则,将日志复制到us-west-2中的S3存储桶中 ✓
正确答案: D. 在us-east-1中创建一个Amazon S3存储桶。在us-west-2中创建一个S3存储桶。使用AWSKMS密钥 (SSE-KMS)配置服务器端加密并为两个S3存储桶启用版本控制。创建并安排一个AWSLambda函数每周运 行一次,以将上周的CloudWatch日志导出到us-east-1中的S3存储桶。在us-east-1中的S3存储桶上配置复 制规则,将日志复制到us-west-2中的S3存储桶中
解析
方案A不是最佳方案,因为它不满足对两个区域的日志进行加密的要求。即使S3存储桶使用SSE-S3加密,日志在从CloudWatch日志组传输到S3存储桶期间也未加密。选项B优于选项A,因为它使用SSE-KMS进行服务器端加密,提供比SSE-S3更好的安全性。但是仍然不满足在传输过程中对日志进行加密的要求。选项C不是最佳解决方案,因为它需要先将日志导出到us-east-1中的S3存储桶,然后再将它们复制到us-west-2中的S3存储桶。这给解决方案增加了不必要的复杂性,并增加了在传输日志时出错或延迟的风险。也不清楚在从us-east-1中的S3bucket传输到us-west-2中的S3bucket的过程中,日志是否会被加密。选项D是最佳方案,因为它满足所有要求。两个S3存储桶都使用SSE-KMS加密并启用版本控制,这为日志提供了额外的保护。Lambda函数将CloudWatch日志组中的日志导出到us-east-1中的S3桶中,并配置复制规则自动将日志传输到us-west-2中的S3桶中。这可确保日志安全高效地传输。Lambda函数将CloudWatch日志组中的日志导出到us-east-1中的S3桶中,并配置复制规则自动将日志传输到us-west-2中的S3桶中。这可确保日志安全高效地传输。Lambda函数将CloudWatch日志组中的日志导出到us-east-1中的S3桶中,并配置复制规则自动将日志传输到us-west-2中的S3桶中。这可确保日志安全高效地传输。