Q29 — AWS SCS-C02 第1章
第 29/100 题 | ← 返回第1章
某公司使用AWS Key Management Service(AWS KMS)的AWS托管密钥,在其应用程序中加密AWS账户中的文件。该公司安全团队希望在发生潜在密钥泄露时,能够随时为新文件更换新的密钥材料。安全工程师必须实施一种解决方案,使安全团队可在需要时随时更换密钥。 以下哪种解决方案能满足这些要求?
- A. 创建一个新的客户托管密钥。为该密钥添加密钥轮换计划。每次安全团队请求密钥变更时,调用该密钥轮换计划。
- B. 创建一个新的AWS托管密钥。为该密钥添加密钥轮换计划。每次安全团队请求密钥变更时,调用该密钥轮换计划。
- C. 创建一个密钥别名。每次安全团队请求密钥变更时,创建一个新的客户托管密钥。将该别名关联至新密钥。 ✓
- D. 创建一个密钥别名。每次安全团队请求密钥变更时,创建一个新的AWS托管密钥。将该别名关联至新密钥。
正确答案: C. 创建一个密钥别名。每次安全团队请求密钥变更时,创建一个新的客户托管密钥。将该别名关联至新密钥。
解析
AWS KMS客户托管密钥允许用户自主管理密钥生命周期。AWS文档指出,别名是一个指向KMS密钥的指针,可随时重新映射到新密钥。选项C通过别名关联新建的客户托管密钥,每次更换只需更新别名指向,无需修改应用程序配置。选项A的密钥轮换自动生成新加密材料但不替换主密钥,选项B和D涉及AWS托管密钥,用户无法手动创建或更换。正确方法为使用别名动态切换客户托管密钥。