Q36 — AWS SAA-C03 第1章
第 36/65 题 | ← 返回第1章
Q36.一家公司准备将机密数据存储在 Amazon S3 中.出于合规性原因,数据必须在静态时加密.出于审计目的,必须记录加密密钥的使用情况.钥匙必须每年轮换一次.哪种解决方案满足这些要求并且是最有效的运营方式?
- A. 使用客户提供的密钥的服务器端加密 (SSE-C)
- B. 使用 Amazon S3 托管密钥的服务器端加密 (SSE-S3)
- C. 使用 AWS KMS (SSE-KMS) 客户主密钥 (CMK) 手动轮换的服务器端加密.
- D. 使用 AWS KMS (SSE-KMS) 客户主密钥 (CMK) 自动轮换的服务器端加密. ✓
正确答案: D. 使用 AWS KMS (SSE-KMS) 客户主密钥 (CMK) 自动轮换的服务器端加密.
解析
使用自动旋转的AWS KMS (SSE-KMS)客户主密钥(cmk)进行服务器端加密。此选项为静态机密数据提供了强大的加密,AWS密钥管理服务(KMS)将每年自动轮换cmk。此外,KMS还提供api将所有密钥使用记录到Amazon CloudTrail中,可用于审计目的。 选项A,使用客户提供的密钥进行服务器端加密(SSE-C),需要管理和保护客户提供的密钥,这增加了体系结构的复杂性和风险。 选项B,使用Amazon S3托管密钥(SSE-S3)的服务器端加密,不提供自动密钥轮换,因此需要手动密钥轮换,这可能会增加管理开销。 选项C,使用手动轮换的AWS KMS (SSE-KMS)客户主密钥进行服务器端加密,需要手动轮换密钥,这可能会增加管理开销并增加人为错误的风险。