Q87 — AWS DOP-C02 第1章
第 87/100 题 | ← 返回第1章
一家公司开发了一个托管在AWS上的岛服务器Web应难程序。该应难程序由AmazonS3组成。Amazon API Gateway、多个AWS Lambda函数和一个Amazon RDS for MySQL数据库。该公司正在使 难AWS CodeCommit范存储源代码。源代码是AWS岛服务器应难程序模型(AWSSAM)模板和Python代码的组 合。 安全审计和渗透测试庭场,难于对数据库进行身份办证的难户会和其码是硬编码在CodeCommit存储库中的。 DevOps 工程师客间实施一个解决方案范自动检测和防止硬编码的秘其。 两足这些要求的最安全的解决方案是什么?
- A. 启用Amazon CodeGuru Profiler。用@with_lambda_profiler()修饰处理函数。人工审核推荐报告。将密 钥作为安全字符串写入AWS Systems Manager Parameter Store。更新SAM 模板和 Python 代码以从 Parameter Store中提取秘密。
- B. 将 CodeCommit 存储库与Amazon CodeGuru Reviewer 相关联。手动检查代码审查是否有任何建议。选 择保护秘密的选项。更新SAM模板和Python代码以从AWS Secrets Manager中提取密钥。 ✓
- C. 启用Amazon CodeGuru Profiler。用@with lambda profiler()修饰处理函数。人工审核推荐报告。选择保 护秘密的选项。更新SAM模板和Python代码以从AWS Secrets Manager中提取密钥。
- D. 将 CodeCommit存储库与Amazon CodeGuru Reviewer相关联。手动检查代码审查是否有任何建议。将 密钥作为字符串写入AWS Systems Manager Parameter Store。更新SAM 模板和 Python 代码以从 Parameter Store中提取秘密。
正确答案: B. 将 CodeCommit 存储库与Amazon CodeGuru Reviewer 相关联。手动检查代码审查是否有任何建议。选 择保护秘密的选项。更新SAM模板和Python代码以从AWS Secrets Manager中提取密钥。
解析
在此场景中,关键需求是自动检测和防止硬编码的秘密。AmazonCodeGuruReviewer是一种代码审查工具,可以自动检测代码中的问题,包括硬编码的秘密。将CodeCommit存储库与AmazonCodeGuruReviewer相关联,可以自动对提交的代码进行审查,并检测是否有硬编码的秘密。检测到问题后,可以手动检查代码审查的建议,选择保护秘密的选项,并将密钥存储在AWSSecretsManager中,这是一个专门用于存储和管理密钥的服务。最后,更新SAM模板和Python代码以从AWSSecretsManager中提取密钥,从而避免硬编码秘密的问题。因此,选项B是满足这些要求的最安全的解决方案。 查看全部