Q22 — AWS SAA-C03 第1章
第 22/65 题 | ← 返回第1章
Q22.一家公司最近更新了其内部安全标准.该公司现在必须确保所有 Amazon S3 存储桶和 Amazon Elastic Block Store (Amazon EBS) 卷都使用由内部安全专家创建并定期轮换的密钥进行加密.该公司正在寻找一种基于软件的原生 AWS 服务来实现这一目标.解决方案架构师应该推荐什么作为解决方案?
- A. 使用带有客户主密钥 (CMK) 的 AWS Secrets Manager 来存储主密钥材料并应用例程定期创建新的 CMK 并在 AWS Secrets Manager 中替换它.
- B. 使用带有客户主密钥 (CMK) 的 AWS Key Management Service (AWS KMS) 来存储主密钥材料并应用路由以定期重新创建新密钥并在 AWS KMS 中替换它. ✓
- C. 使用带有客户主密钥 (CMK) 的 AWS CloudHSM 集群来存储主密钥材料并应用例程,定期重新创建新密钥并在 CloudHSM 集群节点中替换它.
- D. 使用带有客户主密钥 (CMK) 密钥的 AWS Systems Manager Parameter Store 来存储主密钥材料,并应用例程定期重新创建新的并在 Parameter Store 中替换它.
正确答案: B. 使用带有客户主密钥 (CMK) 的 AWS Key Management Service (AWS KMS) 来存储主密钥材料并应用路由以定期重新创建新密钥并在 AWS KMS 中替换它.
解析
使用 Secrets Manager AWS 会自动轮换您的密钥.使用 AWS KMS 可以启用/禁用自动轮换,因此工程师可以手动进行.