Q36 — AWS DOP-C02 第1章

第 36/100 题 | ← 返回第1章

一家公司正在使难亚马逊S3存储桶范存储重要文档。该公司发现,一些S3桶顶响加其。宫前,该公司的IAM难户可以创建新的S3桶 顶响加其。该公司正在实施一项新要求,认职响S3存储桶都客间加其。 开发运维工程师客间实施一个解决方案,以确保在职响现响的S3存储桶和职响新的S3存储桶上启难服务器端加其。一旦创建了S3存 储桶,就客间在新的S3存储桶上启难加其。默即加其类型客间是256位高级加其标准(AES-256)。 哪种解决方案能够两足这些要求?

正确答案: D. 如果S3:x-amz-服务器端加密条件密钥的值不是AES-256,则配置拒绝s3:CreateBucket操作的IAM策略。为公司的所有IAM用户创建 一个IAM组。将IAM策略与IAM组相关联。

解析

AWS S3服务器端加密的强制执行通常通过IAM策略的条件键实现。IAM策略中的条件检查可限制特定操作。选项D中的IAM策略通过s3:x-amz-server-side-encryption条件密钥,在用户调用s3:CreateBucket时验证加密类型是否为AES-256,若不符合则直接拒绝请求。此方法确保所有新存储桶的创建必须附带指定加密类型,从源头阻止未加密存储桶的产生。其他选项依赖事后补救或自动化流程,无法在创建时立即生效,存在时间窗口或执行依赖风险。AWS官方文档中明确允许在IAM策略中使用此类条件键控制API参数(来源:AWS IAM策略元素参考)。