Q28 — AWS SCS-C02 第1章
第 28/100 题 | ← 返回第1章
一位安全工程师正在构建一个运行在Amazon EC2上的Java应用程序。该应用程序与Amazon RDS实例通信,并使用用户名和密码进行身份验证。 工程师可采取以下哪些组合步骤来保护凭证,并在凭证轮换时将停机时间降至最低?(选择两项)
- A. 由数据库管理员加密凭证并将密文存储在Amazon S3中。授予与EC2实例关联的实例角色读取该对象并解密密文的权限。
- B. 配置一个定时任务,更新AWS Systems Manager Parameter Store中的凭证,并通知工程师需重启应用程序。
- C. 在AWS Secrets Manager中配置凭证自动轮换 ✓
- D. 将凭证存储在AWS Systems Manager Parameter Store中的加密字符串参数中。授予与EC2实例关联的实例角色访问该参数及用于加密它的AWS KMS密钥的权限。
- E. 配置Java应用程序捕获连接失败,并在密码轮换时调用AWS Secrets Manager以检索更新后的凭证。授予与EC2实例关联的实例角色访问Secrets Manager的权限。 ✓
正确答案: C. 在AWS Secrets Manager中配置凭证自动轮换, E. 配置Java应用程序捕获连接失败,并在密码轮换时调用AWS Secrets Manager以检索更新后的凭证。授予与EC2实例关联的实例角色访问Secrets Manager的权限。
解析
AWS Secrets Manager支持自动轮换数据库凭证,无需手动干预,确保凭证定期更新。结合应用程序处理连接失败时自动获取最新凭证,避免停机。AWS文档指出,Secrets Manager自动轮换配合应用程序动态检索,可无缝过渡新凭证。选项C启用自动轮换,E确保应用在凭证失效时自动获取更新,两者协同实现安全存储和最小中断。A、B、D或缺乏自动轮换或需手动操作,不符合要求。