Q38 — AWS SCS-C02 第1章
第 38/100 题 | ← 返回第1章
一家公司正在设计一个新的应用栈。该设计包括托管在Amazon EC2实例上的Web服务器和后端服务器,以及一个Amazon Aurora MySQL数据库集群。 EC2实例位于使用启动模板的Auto Scaling组中。Web层和后端层的EC2实例由Amazon Elastic Block Store(Amazon EBS)卷支持。当前各层均未启用静态加密。一名安全工程师需要实施静态加密。 以下哪两种组合步骤能满足这些要求?(选择两项)
- A. 修改目标AWS区域中的EBS默认加密设置以启用加密。使用Auto Scaling组实例刷新。 ✓
- B. 修改Web层和后端层的启动模板,为附加的EBS卷添加AWS Certificate Manager(ACM)加密。使用Auto Scaling组实例刷新。
- C. 从现有数据库集群的快照创建一个新的AWS Key Management Service(AWS KMS)加密的DB集群。 ✓
- D. 对现有DB集群应用AWS Key Management Service(AWS KMS)加密。
- E. 对现有DB集群应用AWS Certificate Manager(ACM)加密。
正确答案: A. 修改目标AWS区域中的EBS默认加密设置以启用加密。使用Auto Scaling组实例刷新。, C. 从现有数据库集群的快照创建一个新的AWS Key Management Service(AWS KMS)加密的DB集群。
解析
AWS中的静态数据加密涉及对EBS卷和数据库的加密处理。EBS默认加密启用后,新卷自动加密,需通过实例刷新替换原有实例。Aurora MySQL集群加密需通过快照恢复至新集群时启用。ACM用于证书管理,与EBS或数据库加密无关。选项A正确因启用默认加密并刷新实例;C正确因通过快照创建加密新集群。B、D、E涉及错误服务或不可行方法。参考AWS EBS加密和Aurora加密文档。