Q54 — AWS SAA-C03 第3章
第 54/65 题 | ← 返回第3章
Q184.公司需要将医学试验的结果保存到 Amazon S3 存储库.存储库必须允许少数科学家添加新文件,并且必须将所有其他用户限制为只读访问.任何用户都不能修改或删除存储库中的任何文件.公司必须在存储库中的每个文件自其创建日期起至少保留 1 年.哪种解决方案可以满足这些要求?
- A. 在治理模式下使用 S3 对象锁,合法持有期为 1 年.
- B. 在合规模式下使用 S3 对象锁定,保留期为 365 天. ✓
- C. 使用 IAM 角色限制所有用户删除或更改 S3 存储桶中的对象.使用 S3 存储桶策略仅允许 IAM 角色.
- D. 配置 S3 存储桶以在每次添加对象时调用 AWS Lambda 函数.配置函数以跟踪已保存对象的哈希值,以便可以相应地标记修改的对象.
正确答案: B. 在合规模式下使用 S3 对象锁定,保留期为 365 天.
解析
为了满足Amazon S3存储库允许少数科学家向存储库添加新文件,同时限制所有其他用户的只读访问权限,并确保没有用户可以修改或删除存储库中的任何文件的需求,建议使用方案B:使用S3 Object Lock合规模式,保留期限为365天。 选项A在治理模式下使用S3 Object Lock,法定持有期为1年,但不保证在法定持有期到期之前不能删除或修改对象。它只在合法持有之后提供防止删除和修改的额外保护。 选项C,使用IAM角色限制所有用户删除或更改S3桶中的对象,并使用S3桶策略只允许IAM角色,不能解决允许少数科学家向存储库添加新文件的需求。 选项D将S3桶配置为在每次添加对象时调用AWS Lambda函数,然后跟踪已保存对象的散列,以便可以相应地标记修改过的对象,但这并不能满足限制用户只读访问的要求。 S3 Object Lock合规模式为保护对象不被修改或删除提供了理想的解决方案。锁定对象后,任何用户(包括root用户和AWS账户管理员)都不能覆盖或删除该对象。通过设置365天的保留期,公司可以确保所有对象在其创建日期之后至少在存储库中保留一年。该解决方案允许少数科学家向存储库添加新文件,同时限制所有其他用户的只读访问权限。