Q69 — AWS SAP-C02 第3章

第 69/75 题 | ← 返回第3章

Q294. 一家公司正在使用需要访问Amazon RDS上的Microsoft SQL Server数据库实例的AWS Lambda函数来实施无服务器架构。公司有单独的开发和生产环境,包括数据库系统的克隆。 公司的开发人员可以访问开发数据库的凭证。但是,生产数据库的凭证必须使用只有IT安全团队的IAM用户组成员才能访问的密钥进行加密。此密钥必须定期轮换。 解决方案架构师应在生产环境中做什么来满足这些要求?

正确答案: D. 将数据库凭证作为与AWS Key Management Service (AWS KMS)客户托管密钥关联的密钥存储在AWS Secrets Manager中。将角色附加到每个Lambda函数以提供对密钥的访问。限制对密钥和客户托管密钥的访问,以便只有IT安全团队可以访问密钥和密钥。

解析

选项D将数据库凭证存储在与AWS KMS客户托管密钥关联的AWS Secrets Manager中进行加密。将角色附加到每个Lambda函数以提供对密钥的访问。限制对密钥和客户托管密钥的访问,以便只有IT安全团队可以访问。 选项A将凭证存储在Parameter Store中,默认不提供敏感数据的本机加密,需要额外配置。选项B使用AWS KMS默认Lambda密钥不支持定期轮换。选项C加密环境变量需要额外的代码更改和实施工作,而AWS Secrets Manager提供与AWS KMS的本机集成。