Q7 — AWS SCS-C02 第1章
第 7/100 题 | ← 返回第1章
一家公司需要遵循安全最佳实践,通过AWS CloudFormation模板部署资源。该CloudFormation模板必须能够配置敏感的数据库凭证。 该公司已使用AWS Key Management Service(AWS KMS)和AWS Secrets Manager。 以下哪项解决方案可满足该要求?
- A. 在CloudFormation模板中使用动态引用,以引用Secrets Manager中的数据库凭证。 ✓
- B. 在CloudFormation模板中使用参数来引用数据库凭证。使用AWS KMS加密CloudFormation模板。 
- C. 在CloudFormation模板中使用SecureString参数来引用Secrets Manager中的数据库凭证。 
- D. 在CloudFormation模板中使用SecureString参数来引用AWS KMS中的加密值。
正确答案: A. 在CloudFormation模板中使用动态引用,以引用Secrets Manager中的数据库凭证。
解析
AWS CloudFormation动态引用支持直接从Secrets Manager获取敏感数据,无需明文存储。《AWS Secrets Manager用户指南》指出,动态引用通过`{{resolve:secretsmanager:secret-id}}`语法安全检索秘密值。选项A利用此机制,确保数据库凭证在模板中不暴露。选项B的加密模板无法防止参数明文传输的风险。选项C和D涉及的SecureString参数属于Systems Manager Parameter Store,与题目中已使用的Secrets Manager不符。正确答案A符合安全最佳实践。