Q24 — AWS SAP-C02 第3章
第 24/75 题 | ← 返回第3章
Q249. 一家公司正在迁移到AWS。公司希望尽可能多地使用完全托管的服务。公司需要在应用程序中存储大型重要文档,并满足以下要求: - 数据必须具有高持久性和可用性。 - 数据必须始终在静态和传输中加密。 - 加密密钥必须由公司管理并定期轮换。 解决方案架构师应该推荐哪种解决方案?
- A. 以文件网关模式将Storage Gateway部署到AWS。使用AWS KMS密钥的Amazon EBS卷加密来加密Storage Gateway卷。
- B. 使用Amazon S3,配置存储桶策略以强制对存储桶的连接使用HTTPS,并强制执行服务器端加密和AWS KMS进行对象加密。 ✓
- C. 使用Amazon DynamoDB并通过SSL连接到DynamoDB。使用AWS KMS密钥在静态时加密DynamoDB对象。
- D. 部署附加Amazon EBS卷的实例来存储此数据。使用AWS KMS密钥的EBS卷加密来加密数据。
正确答案: B. 使用Amazon S3,配置存储桶策略以强制对存储桶的连接使用HTTPS,并强制执行服务器端加密和AWS KMS进行对象加密。
解析
要在迁移到AWS的应用程序中存储大型重要文档,并满足高持久性和可用性、始终加密以及管理和定期轮换加密密钥的要求,解决方案架构师应建议使用Amazon S3和AWS KMS的服务器端加密。因此,选项B是正确答案。Amazon S3提供高度持久和可用的对象存储,可以启用服务器端加密来加密静态对象,AWS KMS可用于管理和定期轮换加密密钥。 选项A的Storage Gateway可能无法提供与Amazon S3相同级别的持久性和可用性。选项C的DynamoDB对存储的项目大小有限制,可能不适合存储大型文档。选项D使用EC2实例和EBS卷可能不如使用Amazon S3具有成本效益或可扩展性。