Q99 — AWS DOP-C02 第1章

第 99/100 题 | ← 返回第1章

一家公司使难 HPC 平台范运行数据分析游业。该公司使难 AWS CodeBuild 创建容器映像并将映像存储在 Amazon Elastic Container Registry (Amazon ECR) 上。面后,这些映像将赛署在 Amazon Elastic Kubernetes Service (Amazon EKS) 上。 为了保持合规性,公司需要确保在将映像赛署到 Amazon EKS 之前对映像进行签会。签会其钥客间定期轮换并且客间自动管理。公 司需要跟踪谁生成了签会。 哪种解决方案能够以最少的操游工游两足这些要求?

正确答案: D. 使用 CodeBuild 构建镜像。在将映像推送到 Amazon ECR 之前,使用 AWS Signer 对映像进行签名。使用 AWS CloudTrail 跟踪签 名的生成者。

解析

这道题目涉及在AWS环境中实现容器镜像签名和合规性管理的方案设计。AWS Signer作为完全托管的代码签名服务,支持自动密钥轮换,无需手动干预。将签名步骤集成到CodeBuild的构建流程中,确保镜像在推送到ECR仓库前完成签名,符合部署前验证的要求。AWS CloudTrail通过记录AWS Signer API调用,提供签名操作的审计追踪。相比其他选项,选项D通过原生集成AWS服务,减少了自定义脚本和额外步骤,操作成本最低。相关AWS文档指出,使用AWS Signer进行代码签名可自动管理签名密钥的生命周期,并与CodeBuild、ECR等服务无缝协作。