Q64 — AWS DVA-C02 第2章
第 64/100 题 | ← 返回第2章
伊家交司正在使用Amazon OpenSearch Service实施审计监控系供。伊位开发人乡商要创建伊个与AWS Lambda函数关联的AWS CloudFormation自定海护源,以配置OpenSearch Service域。Lambda函数必场使用OpenSearch Service黄色主用户凭哪访问OpenSearch Service域。围递这些凭哪给Lambda函数的最安哥的远因是什么?
- A. 使用CloudFormation参数在部署时传递主用户凭据到OpenSearch Service域的MasterUserOptions和Lambda函数的环境变量。将NoEcho属性设置为true。
- B. 使用CloudFormation参数在部署时传递主用户凭据到OpenSearch Service域的MasterUserOptions,并创建一个在AWS Systems Manager Parameter Store中的参数。将NoEcho属性设置为true。创建一个具有ssm:GetParameter权限的IAM角色。将该角色分配给Lambda函数。将参数名称存储为Lambda函数的环境变量。在运行时 解析参数的值。
- C. 使用CloudFormation参数在部署时传递主用户凭据到OpenSearch Service域的MasterUserOptions和Lambda函数的环境变量。使用AWS Key Management Service(AWS KMS)encrypt命令加密参数的值。
- D. 使用CloudFormation创建一个AWS Secrets Manager密钥。使用CloudFormation动态引用检索用于OpenSearch Service域MasterUserOptions的密钥的值。创建一个具有secretsmanager:GetSecretValue权限的IAM角色。将该角色分配给Lambda函数。将密钥的名称存储为Lambda函数的环境变量。在运行时 解析密钥的值。 ✓
正确答案: D. 使用CloudFormation创建一个AWS Secrets Manager密钥。使用CloudFormation动态引用检索用于OpenSearch Service域MasterUserOptions的密钥的值。创建一个具有secretsmanager:GetSecretValue权限的IAM角色。将该角色分配给Lambda函数。将密钥的名称存储为Lambda函数的环境变量。在运行时 解析密钥的值。
解析
选项D建议使用AWS Secrets Manager来创建一个密钥,并使用CloudFormation动态引用来检索该密钥的值,然后将其用于OpenSearch Service域的MasterUserOptions。同时,创建一个具有secretsmanager:GetSecretValue权限的IAM角色,将该角色分配给Lambda函数。在Lambda函数中,将密钥的名称存储为环境变量,并在运行时 解析密钥的值。这种方法能够确保凭据的安全性,并且密钥的值不会明文存储在CloudFormation模板中。其他选项涉及使用参数传递凭据(A B C),但D选项提供了更为安全和可管理的密钥管理解决方案。 【灯笼考证提供:swufelp1999】