Q46 — AWS SCS-C02 第1章

第 46/100 题 | ← 返回第1章

一家公司在us-east-1区域运行工作负载。该公司从未在其他AWS区域部署资源,也没有任何多区域资源。该公司需要将其工作负载和基础设施复制到us-west-1区域。 一名安全工程师必须实施一种解决方案,使用AWS Secrets Manager在两个区域中存储密钥。该解决方案必须使用AWS Key Management Service(AWS KMS)加密这些密钥。该解决方案必须最大限度地降低延迟,并且在仅有一个区域可用的情况下仍能正常工作。 安全工程师已在us-east-1中使用Secrets Manager创建了密钥。 为满足要求,安全工程师接下来应执行什么操作?

正确答案: D. 使用客户托管KMS密钥在us-east-1中加密密钥。将密钥复制到us-west-1。在us-west-1中使用来自us-east-1的客户托管KMS密钥加密密钥。

解析

AWS Secrets Manager和KMS跨区域复制的场景中,使用客户管理密钥(CMK)并启用多区域密钥是关键。AWS文档指出,为支持跨区域访问且保证高可用性,需在多区域配置中使用同一CMK。选项D通过复制secrets至目标区域并使用源区域的CMK,确保了各区域独立访问加密数据的能力。选项B和C依赖跨区域调用,无法满足单区域可用性要求;选项A使用不同密钥导致解密失败。选项D符合多区域密钥和本地复制的需求,确保低延迟和容错。答案:D