Q23 — AWS SAP-C02 第1章

第 23/75 题 | ← 返回第1章

Q98. 解决方案架构师正在审计一家公司 AWS Lambda 函数的安全配置。Lambda 函数从 Amazon Aurora 数据库检索最新更改。Lambda 函数和数据库在同一个 VPC 中运行。Lambda 环境变量向 Lambda 函数提供数据库凭证。Lambda 函数聚合数据并将数据存放在配置了使用 AWS KMS 托管加密密钥 (SSE-KMS) 进行服务端加密的 Amazon S3 存储桶中。数据不得通过互联网传输。如果任何数据库凭证被泄露,公司需要一个最小化泄露影响的解决方案。解决方案架构师应该推荐什么来满足这些要求?

正确答案: A. 在 Aurora 数据库集群上启用 IAM 数据库身份验证。更改 Lambda 函数的 IAM 角色以允许函数使用 IAM 数据库身份验证访问数据库。在 VPC 中部署 Amazon S3 网关 VPC 端点。

解析

为最小化凭证泄露的影响并确保数据不通过互联网传输,推荐的解决方案是: A. 在 Aurora 数据库集群上启用 IAM 数据库身份验证。更改 Lambda 函数的 IAM 角色以允许函数使用 IAM 数据库身份验证访问数据库。在 VPC 中部署 Amazon S3 网关 VPC 端点。 说明: 选项 A 提供了最安全的解决方案: 1. IAM 数据库身份验证消除了对静态数据库凭证的需求。即使 IAM 凭证被泄露,它们也是临时的并会自动轮换。 2. 网关 VPC 端点确保到 Amazon S3 的流量通过 AWS 私有网络而不是互联网传输。 选项 B 不正确,虽然 IAM 数据库身份验证正确,但仅强制 HTTPS 不能确保数据不经过互联网。 选项 C 不正确,Parameter Store 不如 IAM 数据库身份验证安全。 选项 D 不正确,Secrets Manager 虽然可以轮换凭证,但仍使用静态凭证,且 HTTPS 不能确保流量不经过互联网。 因此,选项 A 是正确的解决方案。