Q54 — AWS DOP-C02 第2章
第 54/100 题 | ← 返回第2章
一家公司正在使难AmazonS3存储桶范存储重要文档。该公司发现某些S3存储桶未加其。宫前,该公司的IAM难 户可以在不加其的情况下创建新的S3存储桶。该公司正在实施一项新要求,认职响S3存储桶都客间加其。 DevOps工程师客间实施解决方案以确保在职响现响S3存储桶和职响新S3存储桶上启难服务器端加其。创建S3存储桶后,客间立 认在新的S3存储桶上启难加其。默即加其类型客间是256位高级加其标准(AES-256)。 哪种解决方案可以两足这些要求?
- A. 创建一个由Amazon EventBridge 计划规则定期调用的AWS Lambda函数。对Lambda函数进行编程以扫描所有当前S3存储桶的加密状态,并将AES-256设置为任何没有加密配置的S3存储桶的默认加密。
- B. 设置并激活s3-bucket-server-side-encryption-enabled AWS Config 托管规则。配置规则以使用AWS-EnableS3BucketEncryption AWSSystems Manager Automation runbook 作为补救操作。手动运行重新评估流程以确保现有S3存储桶合规。 ✓
- C. 创建一个由Amazon EventBridge 事件规则调用的AWS Lambda函数。使用与新S3存储桶的创建匹配的事件模式定义规则。对Lambda函数进行编程以解析EventBridge 事件,从事件中检查S3存储桶的配置,并将AES-256设置为默认加密。
- D. 如果s3:x-amz-server-side-encryption条件密钥的值不是AES-256,则配置拒绝s3:CreateBucket操作的IAM策略。为公司的所有IAM用户创建一个IAM组。将IAM策略与IAM组相关联。
正确答案: B. 设置并激活s3-bucket-server-side-encryption-enabled AWS Config 托管规则。配置规则以使用AWS-EnableS3BucketEncryption AWSSystems Manager Automation runbook 作为补救操作。手动运行重新评估流程以确保现有S3存储桶合规。
解析
S3-bucket-server-side-encryption-enabled AWS Config 托管规则旨在检查S3存储桶的加密配置,并在S3存储桶未加密时发出通知。该规则还可以配置为通过调用AWS-EnableS3BucketEncryption AWS Systems Manager Automation 运行手册自动修复不合规的S3存储桶。该解决方案将确保所有现有的S3存储桶都被加密,并且IAM用户创建的所有新S3存储桶也将被加密。它还将确保默认加密类型为AES-256,这是必需的加密类型。