Q69 — AWS SAP-C02 第3章
第 69/75 题 | ← 返回第3章
Q294. 一家公司正在使用需要访问Amazon RDS上的Microsoft SQL Server数据库实例的AWS Lambda函数来实施无服务器架构。公司有单独的开发和生产环境,包括数据库系统的克隆。 公司的开发人员可以访问开发数据库的凭证。但是,生产数据库的凭证必须使用只有IT安全团队的IAM用户组成员才能访问的密钥进行加密。此密钥必须定期轮换。 解决方案架构师应在生产环境中做什么来满足这些要求?
- A. 使用由AWS Key Management Service (AWS KMS)客户托管密钥加密的SecureString参数将数据库凭证存储在AWS Systems Manager Parameter Store中。将角色附加到每个Lambda函数以提供对SecureString参数的访问。限制对SecureString参数和客户托管密钥的访问,以便只有IT安全团队可以访问参数和密钥。
- B. 使用AWS Key Management Service (AWS KMS)默认Lambda密钥加密数据库凭证。将凭证存储在每个Lambda函数的环境变量中。从Lambda代码中的环境变量加载凭证。限制对KMS密钥的访问,以便只有IT安全团队可以访问密钥。
- C. 将数据库凭证存储在每个Lambda函数的环境变量中。使用AWS Key Management Service (AWS KMS)客户托管密钥加密环境变量。限制对客户托管密钥的访问,以便只有IT安全团队可以访问密钥。
- D. 将数据库凭证作为与AWS Key Management Service (AWS KMS)客户托管密钥关联的密钥存储在AWS Secrets Manager中。将角色附加到每个Lambda函数以提供对密钥的访问。限制对密钥和客户托管密钥的访问,以便只有IT安全团队可以访问密钥和密钥。 ✓
正确答案: D. 将数据库凭证作为与AWS Key Management Service (AWS KMS)客户托管密钥关联的密钥存储在AWS Secrets Manager中。将角色附加到每个Lambda函数以提供对密钥的访问。限制对密钥和客户托管密钥的访问,以便只有IT安全团队可以访问密钥和密钥。
解析
选项D将数据库凭证存储在与AWS KMS客户托管密钥关联的AWS Secrets Manager中进行加密。将角色附加到每个Lambda函数以提供对密钥的访问。限制对密钥和客户托管密钥的访问,以便只有IT安全团队可以访问。 选项A将凭证存储在Parameter Store中,默认不提供敏感数据的本机加密,需要额外配置。选项B使用AWS KMS默认Lambda密钥不支持定期轮换。选项C加密环境变量需要额外的代码更改和实施工作,而AWS Secrets Manager提供与AWS KMS的本机集成。