Q20 — AWS DVA-C02 第3章
第 20/100 题 | ← 返回第3章
开发人乡正在使用无服务续婚件构建结度安哥的医疗保健应用程序。散应用程序商要将临时数哪学入AWS Lambda 函数白的/tmp存储。 开发人乡应该如何加密这些数哪?
- A. 在Lambda 函数配置中使用AWS KMS 密钥启用Amazon EBS 卷加密,以便所有附加到Lambda 函数的存储都被加密。
- B. 使用角色和密钥策略设置Lambda 函数以访问AWS KMS 密钥。使用密钥生成数据密钥,用于在写入/tmp存储之前加密所有数据。 ✓
- C. 使用OpenSSI 在Lambda 启动时生成对称加密密钥。在写入/tmp之前使用此密钥加密数据。
- D. 使用本地硬件安全模块(HSM)生成密钥,其中Lambda 函数从HSM请求数据密钥并使用它来 加密所有请求函数的数据。
正确答案: B. 使用角色和密钥策略设置Lambda 函数以访问AWS KMS 密钥。使用密钥生成数据密钥,用于在写入/tmp存储之前加密所有数据。
解析
在AWSLambda环境中,/tmp目录是一个为函数提供的临时存储空间,但它本身不提供加密功能。为了加密写入/tmp的数据,开发人员需要利用AWSKeyManagementService(KMS)来管理密钥。具体步骤是,首先通过IAM角色和KMS密钥策略配置Lambda函数以访问KMS密钥,然后使用KMS密钥生成数据密钥(DataKey),这个数据密钥用于加密实际的数据。这种方法确保了数据的机密性,同时也符合AWS的安全最佳实践。因此,选项B是正确的。 【灯笼考证提供:swufelp1999】