Q73 — AWS DOP-C02 第3章
第 73/100 题 | ← 返回第3章
一家改型企业正在AWS上赛署 Web应难程序。该应难程序在Application Load Balancer 后然的Amazon EC2实暗上运行。这些实暗在跨多个可难区的Auto Scaling组中运行。该应难程序将数据存储在Amazon RDS Oracle数据库实暗和Amazon DynamoDB中。响难于开发、测试和生书的独立环境。 在赛署期须获取其码凭据的最安全、最恩过的方法是什么?
- A. 从AWS Systems Manager SecureString 参数中检索访问密钥以访问AWS服务。从Systems Manager SecureString 参数中检索数据库凭据。
- B. 启动具有EC2IAM角色的EC2实例以访问AWS服务。从AWS Secrets Manager检索数据库凭证。 ✓
- C. 从AWS Systems Manager明文参数中检索访问密钥以访问AWS服务。从Systems Manager SecureString参数中检索数据库凭据。
- D. 启动具有EC2IAM角色的EC2实例以访问AWS服务。将数据库密码与应用程序工件一起存储在加密的 配置文件中。
正确答案: B. 启动具有EC2IAM角色的EC2实例以访问AWS服务。从AWS Secrets Manager检索数据库凭证。
解析
答案B是最安全和灵活的方法。启动具有EC2IAM角色的EC2实例来访问AWS服务,可以确保实例在所需权限范围内进行操作,增强了安全性和权限管理的灵活性。而从AWSSecretsManager检索数据库凭证,能够更好地保护敏感的数据库凭据,防止其被意外泄露或不当访问。其他选项存在一定的安全风险和灵活性不足的问题。选项A中从SystemsManagerSecureString参数中检索访问密钥不如使用EC2IAM角色灵活。选项C从明文参数中检索访问密钥存在较大安全风险。选项D将数据库密码与应用程序工件一起存储在加密的配置文件中,不如从SecretsManager检索更安全和灵活。所以选择B选项。 查看全部