Q81 — AWS SCS-C02 第1章
第 81/100 题 | ← 返回第1章
一个应用程序正在运行于一台附加了IAM角色的Amazon EC2实例上。该IAM角色提供了对AWS密钥管理服务(AWS KMS)客户托管密钥和Amazon S3存储桶的访问权限。该密钥用于访问存储在S3存储桶中的2 TB敏感数据。 安全工程师发现该EC2实例上存在一个潜在漏洞,可能导致敏感数据泄露。由于其他关键业务操作,安全工程师无法立即关闭该EC2实例以进行漏洞修补。 在不立即关闭EC2实例的前提下,防止敏感数据暴露的最快方法是什么?
- A. 从现有S3存储桶下载数据至一台新EC2实例,然后删除S3存储桶中的数据。使用客户端密钥重新加密数据,并将数据上传至新的S3存储桶。
- B. 使用基于主机的防火墙阻止对S3终端节点公网IP地址段的访问。确保受影响EC2实例的出站互联网流量经由该基于主机的防火墙路由。
- C. 撤销IAM角色的当前会话权限。更新S3存储桶策略,拒绝该IAM角色的访问。从EC2实例配置文件中移除该IAM角色。 ✓
- D. 禁用当前KMS密钥。创建一个新的KMS密钥(IAM角色无访问权限),并使用该新密钥重新加密全部数据。安排被攻破的密钥进入待删除状态。
正确答案: C. 撤销IAM角色的当前会话权限。更新S3存储桶策略,拒绝该IAM角色的访问。从EC2实例配置文件中移除该IAM角色。
解析
为防止敏感数据泄露,在无法立即关闭EC2实例时,最快方法是撤销IAM角色的当前会话权限,更新S3存储桶策略拒绝该角色访问,并从EC2实例配置文件移除IAM角色,可立即切断访问。其他选项相对耗时。