Q72 — AWS SAP-C02 第1章
第 72/75 题 | ← 返回第1章
Q147. 解决方案架构师需要将数据从一个 AWS 账户中的 Amazon S3 存储桶复制到不同 AWS 账户中的新 S3 存储桶。源存储桶使用 AWS Key Management Service (AWS KMS) 客户托管密钥进行服务端加密。解决方案架构师需要配置跨账户复制。解决方案架构师应该执行哪些步骤的组合来满足这些要求?(选择三项。)
- A. 为新 S3 存储桶创建新的 KMS 密钥,并创建 S3 复制配置以在复制时更改加密密钥。
- B. 使用 S3 复制配置以在复制时使用相同的 KMS 密钥加密对象。 ✓
- C. 为源存储桶创建新的 IAM 角色以执行复制。将复制策略附加到该角色。
- D. 为新存储桶创建新的 IAM 角色以执行复制。将复制策略附加到该角色。 ✓
- E. 为源存储桶上的 KMS 密钥授予新 IAM 角色解密权限。
- F. 为源存储桶上的 KMS 密钥授予新 IAM 角色加密权限。 ✓
正确答案: B. 使用 S3 复制配置以在复制时使用相同的 KMS 密钥加密对象。, D. 为新存储桶创建新的 IAM 角色以执行复制。将复制策略附加到该角色。, F. 为源存储桶上的 KMS 密钥授予新 IAM 角色加密权限。
解析
为配置跨账户 S3 复制,推荐的步骤组合是: A. 为新 S3 存储桶创建新的 KMS 密钥,并创建 S3 复制配置以在复制时更改加密密钥。 C. 为源存储桶创建新的 IAM 角色以执行复制。将复制策略附加到该角色。 E. 为源存储桶上的 KMS 密钥授予新 IAM 角色解密权限。