Q36 — AWS DOP-C02 第1章
第 36/100 题 | ← 返回第1章
一家公司正在使难亚马逊S3存储桶范存储重要文档。该公司发现,一些S3桶顶响加其。宫前,该公司的IAM难户可以创建新的S3桶 顶响加其。该公司正在实施一项新要求,认职响S3存储桶都客间加其。 开发运维工程师客间实施一个解决方案,以确保在职响现响的S3存储桶和职响新的S3存储桶上启难服务器端加其。一旦创建了S3存 储桶,就客间在新的S3存储桶上启难加其。默即加其类型客间是256位高级加其标准(AES-256)。 哪种解决方案能够两足这些要求?
- A. 创建一个由Amazon EventBridge预定规则定期调用的AWS Lambda函数。对Lambda函数进行编程,以扫描所有当前S3存储桶的加 密状态,并将AES-256设置为任何没有加密配置的S3存储桶的默认加密。
- B. 设置并激活S3-bucket-server-side-encryption-enabled AWS配置管理规则。将规则配置为使用AWS-enables 3 bucket encryption AWS Systems Manager Automation run book作为补救操作。手动运行重新评估流程,以确保现有S3存储桶符合要求。
- C. 创建一个由Amazon EventBridge事件规则调用的AWS Lambda函数。使用与新S3时段的创建相匹配的事件模式来定义规则。编写 Lambda函数来解析EventBridge事件,检查事件中S3存储桶的配置,并将AES-256设置为默认加密。
- D. 如果S3:x-amz-服务器端加密条件密钥的值不是AES-256,则配置拒绝s3:CreateBucket操作的IAM策略。为公司的所有IAM用户创建 一个IAM组。将IAM策略与IAM组相关联。 ✓
正确答案: D. 如果S3:x-amz-服务器端加密条件密钥的值不是AES-256,则配置拒绝s3:CreateBucket操作的IAM策略。为公司的所有IAM用户创建 一个IAM组。将IAM策略与IAM组相关联。
解析
AWS S3服务器端加密的强制执行通常通过IAM策略的条件键实现。IAM策略中的条件检查可限制特定操作。选项D中的IAM策略通过s3:x-amz-server-side-encryption条件密钥,在用户调用s3:CreateBucket时验证加密类型是否为AES-256,若不符合则直接拒绝请求。此方法确保所有新存储桶的创建必须附带指定加密类型,从源头阻止未加密存储桶的产生。其他选项依赖事后补救或自动化流程,无法在创建时立即生效,存在时间窗口或执行依赖风险。AWS官方文档中明确允许在IAM策略中使用此类条件键控制API参数(来源:AWS IAM策略元素参考)。