Q64 — AWS SCS-C02 第1章

第 64/100 题 | ← 返回第1章

某公司计划将其应用程序迁移到单个AWS区域中的AWS平台。公司的应用程序将结合使用Amazon EC2实例、Elastic Load Balancing(ELB)负载均衡器和Amazon S3存储桶。公司希望尽快完成迁移。所有应用程序必须满足以下要求: · 数据必须静态加密。 · 数据必须传输中加密。 · 必须监控端点的异常网络流量。 安全工程师应采取哪组步骤,以最少的工作量满足这些要求?(选择三项)

正确答案: B. 在所有AWS账户中启用Amazon GuardDuty。, D. 配置AWS Certificate Manager(ACM)。配置负载均衡器使用来自ACM的证书。, F. 使用AWS Key Management Service(AWS KMS)进行密钥管理。创建一个S3存储桶策略,拒绝任何带有x-amz-server-side-encryption条件的PutObject命令。

解析

题目要求确保数据在传输和静止时加密,并监控端点的异常流量。正确答案为B、D、F。Amazon GuardDuty(B)持续监控恶意活动和未经授权的行为,符合监控要求。AWS Certificate Manager(D)为负载均衡器提供托管的SSL/TLS证书,轻松实现传输加密。AWS KMS结合S3存储桶策略(F)强制服务端加密,使用正确条件`x-amz-server-side-encryption`来拒绝未加密的上传,确保静态数据加密。选项A涉及漏洞评估,与流量监控无关;选项C的VPC端点配置不属于题目核心需求;选项E的错误条件无法有效强制加密。