Q58 — AWS SCS-C02 第1章
第 58/100 题 | ← 返回第1章
某公司使用Amazon RDS for MySQL作为其应用程序的数据库引擎。最近一次安全审计发现一个RDS实例未满足公司关于静态数据加密的策略要求。该公司的一名安全工程师需要确保所有现有RDS数据库均使用服务器端加密,并检测未来任何偏离该策略的情况。
- A. 创建一个AWS Config规则以检测未加密RDS数据库的创建。创建一个Amazon EventBridge规则,在AWS Config规则合规状态变更时触发,并使用Amazon Simple Notification Service(Amazon SNS)通知安全运维团队。 ✓
- B. 使用AWS Systems Manager State Manager检测RDS数据库加密配置漂移。创建一个Amazon EventBridge规则跟踪状态变更,并使用Amazon Simple Notification Service(Amazon SNS)通知安全运维团队。
- C. 为现有未加密RDS数据库创建只读副本,并在创建过程中启用副本加密。待副本变为活跃状态后,将其提升为独立数据库实例,并终止原始未加密数据库实例。
- D. 对未加密RDS数据库执行快照。复制该快照并在复制过程中启用快照加密。从新创建的加密快照恢复数据库实例。终止原始未加密数据库实例。 ✓
- E. 通过修改配置为已识别的未加密RDS实例启用加密。
正确答案: A. 创建一个AWS Config规则以检测未加密RDS数据库的创建。创建一个Amazon EventBridge规则,在AWS Config规则合规状态变更时触发,并使用Amazon Simple Notification Service(Amazon SNS)通知安全运维团队。, D. 对未加密RDS数据库执行快照。复制该快照并在复制过程中启用快照加密。从新创建的加密快照恢复数据库实例。终止原始未加密数据库实例。
解析
对于现有未加密的RDS数据库,需先创建快照,复制快照并启用加密生成加密快照,再从加密快照恢复为新实例,最后终止原未加密实例,以此实现存量数据加密,对应选项D。为预防未来出现未加密数据库,要创建AWS Config规则监测新RDS数据库加密状态,检测未加密实例创建行为,同时配置EventBridge规则在Config规则检测到不合规状态变更时,通过SNS通知安全运维团队,对应选项A。