Q50 — AWS SAA-C03 第4章
第 50/105 题 | ← 返回第4章
Q245.一家公司有一个在 Amazon EC2 实例上运行并使用 Amazon Aurora 数据库的应用程序. EC2 实例使用存储在本地文件中的用户名和密码连接到数据库.该公司希望最大限度地减少凭证管理的运营开销.解决方案架构师应该做什么来实现这个目标?
- A. 使用 AWS Secrets Manager.开启自动旋转. ✓
- B. 使用 AWS Systems Manager Parameter Store.开启自动旋转.
- C. 创建一个 Amazon S3 存储桶来存储使用 AWS Key Management Service (AWS KMS) 加密密钥加密的对象.将凭证文件迁移到 S3 存储桶.将应用程序指向 S3 存储桶.
- D. 为每个 EC2 实例创建一个加密的 Amazon Elastic Block Store (Amazon EBS) 卷.将新的 EBS 卷附加到每个 EC2 实例.将凭证文件迁移到新的 EBS 卷.将应用程序指向新的 EBS 卷.
正确答案: A. 使用 AWS Secrets Manager.开启自动旋转.
解析
将身份验证凭证存储在EC2实例的本地文件中并不是一种安全的解决方案,而且可能导致凭证泄露。AWS提供了一项服务AWS秘密管理器,可帮助您保护访问应用程序、服务和IT资源所需的秘密,同时使您能够轻松轮换和管理权限和访问。 使用AWS秘密管理器,公司可以将数据库用户名和密码安全地存储在一个秘密中,EC2实例上的应用程序可以访问这个秘密。该解决方案还提供了自动轮换秘密的功能。该特性减少了与手动轮换秘密相关的操作开销,并通过定期轮换秘密提高了安全性。 因此,选项A是最小化凭证管理的操作开销和提高安全性的正确解决方案。