Q36 — AWS SAA-C03 第1章

第 36/65 题 | ← 返回第1章

Q36.一家公司准备将机密数据存储在 Amazon S3 中.出于合规性原因,数据必须在静态时加密.出于审计目的,必须记录加密密钥的使用情况.钥匙必须每年轮换一次.哪种解决方案满足这些要求并且是最有效的运营方式?

正确答案: D. 使用 AWS KMS (SSE-KMS) 客户主密钥 (CMK) 自动轮换的服务器端加密.

解析

使用自动旋转的AWS KMS (SSE-KMS)客户主密钥(cmk)进行服务器端加密。此选项为静态机密数据提供了强大的加密,AWS密钥管理服务(KMS)将每年自动轮换cmk。此外,KMS还提供api将所有密钥使用记录到Amazon CloudTrail中,可用于审计目的。 选项A,使用客户提供的密钥进行服务器端加密(SSE-C),需要管理和保护客户提供的密钥,这增加了体系结构的复杂性和风险。 选项B,使用Amazon S3托管密钥(SSE-S3)的服务器端加密,不提供自动密钥轮换,因此需要手动密钥轮换,这可能会增加管理开销。 选项C,使用手动轮换的AWS KMS (SSE-KMS)客户主密钥进行服务器端加密,需要手动轮换密钥,这可能会增加管理开销并增加人为错误的风险。