Q49 — AWS SAA-C03 第1章

第 49/65 题 | ← 返回第1章

Q49.一家公司使用 Amazon S3 来存储其机密审计文档. S3 存储桶使用存储桶策略根据最小权限原则限制对审计团队 IAM 用户凭证的访问.公司管理者担心S3存储桶中的文档被误删,希望有更安全的解决方案.解决方案架构师应该如何保护审计文档?

正确答案: A. 在 S3 存储桶上启用版本控制和 MFA 删除功能

解析

为了保护存储在Amazon S3 bucket中的审计文档并防止意外删除,解决方案架构师应该选择选项a:在S3 bucket上启用版本控制和MFA Delete功能。 以下是该解决方案如何帮助增强安全性: 1. 版本控制:通过在S3桶上启用版本控制,对象的每次修改或删除都会创建一个新版本,而不是永久删除该对象。这样可以在意外删除或修改的情况下轻松恢复以前版本的文档。 2. MFA Delete:启用MFA Delete特性在允许删除S3桶中的对象之前需要进行多因素身份验证(MFA),从而增加了额外的保护层。MFA确保只有具有物理访问MFA设备的授权用户才能执行删除操作。 通过实现版本控制和启用MFA Delete,公司可以从以下方面获益: —意外删除保护:使用版本控制,可以通过访问以前版本的文档来恢复意外删除。它提供了额外的数据保护级别,并降低了永久丢失的风险。 —粒度控制:MFA删除确保即使未经授权的人访问了IAM用户的凭据,如果没有额外的MFA认证,他们也无法从S3桶中删除对象。 选项B建议在IAM用户凭据上启用MFA,但仅凭这一点并不能防止意外删除。MFA只是在用户登录时增加了一个身份验证因素,但它不能防止用户无意中删除对象。 选项C建议添加S3生命周期策略,以在审计日期期间拒绝S3:DeleteObject操作。虽然这可以防止在特定时期的意外删除,但它不能提供一个全面的解决方案来保护文档免受意外删除。 选项D建议使用AWS密钥管理服务(AWS KMS)加密S3桶并限制对KMS密钥的访问。虽然加密是一项重要的安全措施,但它并没有专门解决意外删除文档的问题。