Q42 — AWS SAP-C02 第2章
第 42/75 题 | ← 返回第2章
Q192. 一家公司在 Amazon S3 存储桶中有数百万个对象。对象使用 S3 Standard 存储类别。所有 S3 对象都被频繁访问。访问对象的用户和应用程序数量在迅速增长。对象使用带有 AWS KMS 密钥的服务器端加密 (SSE-KMS) 进行加密。 解决方案架构师查看了公司的月度 AWS 发票,注意到由于来自 Amazon S3 的大量请求,AWS KMS 成本正在增加。解决方案架构师需要以最少的应用程序更改来优化成本。 哪种解决方案能以最少的运营开销满足这些要求?
- A. 创建一个使用客户提供的密钥进行服务器端加密 (SSE-C) 作为加密类型的新 S3 存储桶。将现有对象复制到新的 S3 存储桶,指定 SSE-C
- B. 创建一个使用 Amazon S3 托管密钥进行服务器端加密 (SSE-S3) 作为加密类型的新 S3 存储桶。使用 S3 Batch Operations 将现有对象复制到新的 S3 存储桶,指定 SSE-S3 ✓
- C. 使用 AWS CloudHSM 存储加密密钥。创建一个新的 S3 存储桶。使用 S3 Batch Operations 将现有对象复制到新的 S3 存储桶。使用 CloudHSM 中的密钥加密对象
- D. 为 S3 存储桶使用 S3 Intelligent-Tiering 存储类别。创建 S3 Intelligent-Tiering 归档配置,将 90 天未访问的对象转换到 S3 Glacier Deep Archive
正确答案: B. 创建一个使用 Amazon S3 托管密钥进行服务器端加密 (SSE-S3) 作为加密类型的新 S3 存储桶。使用 S3 Batch Operations 将现有对象复制到新的 S3 存储桶,指定 SSE-S3
解析
选项 A 涉及创建使用 SSE-C 加密类型的新 S3 存储桶并复制所有现有对象,可能耗时且可能中断当前应用程序。此外,SSE-C 需要管理和轮换加密密钥,可能增加运营开销。选项 C 涉及使用 AWS CloudHSM 存储加密密钥,增加了显著的复杂性和成本。 选项 D 涉及根据访问模式将数据移动到不同的存储类别,而不是解决 KMS 请求的高成本。如果对象被频繁访问,可能不适合。选项 B 涉及创建使用 SSE-S3 加密类型的新 S3 存储桶,不需要管理或轮换加密密钥。此选项使用 S3 Batch Operations 将现有对象复制到新存储桶,保留当前应用程序配置。使用 SSE-S3 代替 SSE-KMS 将减少 KMS 请求的成本,同时保持 S3 对象的加密,此解决方案需要最少的运营开销。