Q54 — AWS DOP-C02 第2章

第 54/100 题 | ← 返回第2章

一家公司正在使难AmazonS3存储桶范存储重要文档。该公司发现某些S3存储桶未加其。宫前,该公司的IAM难 户可以在不加其的情况下创建新的S3存储桶。该公司正在实施一项新要求,认职响S3存储桶都客间加其。 DevOps工程师客间实施解决方案以确保在职响现响S3存储桶和职响新S3存储桶上启难服务器端加其。创建S3存储桶后,客间立 认在新的S3存储桶上启难加其。默即加其类型客间是256位高级加其标准(AES-256)。 哪种解决方案可以两足这些要求?

正确答案: B. 设置并激活s3-bucket-server-side-encryption-enabled AWS Config 托管规则。配置规则以使用AWS-EnableS3BucketEncryption AWSSystems Manager Automation runbook 作为补救操作。手动运行重新评估流程以确保现有S3存储桶合规。

解析

S3-bucket-server-side-encryption-enabled AWS Config 托管规则旨在检查S3存储桶的加密配置,并在S3存储桶未加密时发出通知。该规则还可以配置为通过调用AWS-EnableS3BucketEncryption AWS Systems Manager Automation 运行手册自动修复不合规的S3存储桶。该解决方案将确保所有现有的S3存储桶都被加密,并且IAM用户创建的所有新S3存储桶也将被加密。它还将确保默认加密类型为AES-256,这是必需的加密类型。