Q82 — AWS SCS-C02 第1章
第 82/100 题 | ← 返回第1章
某公司拥有一套批处理系统,使用Amazon S3、Amazon EC2和AWS密钥管理服务(AWS KMS)。该系统使用两个AWS账户:账户A和账户B。账户A托管一个S3存储桶,用于存储待处理对象及处理结果。该S3存储桶中所有对象均使用账户A中托管的KMS密钥进行加密。账户B托管一个VPC,其中包含一组EC2实例;这些实例通过存储桶策略中的语句访问账户A中的S3存储桶。该VPC已启用DNS主机名和DNS解析功能。安全工程师需在不修改系统任何代码的前提下更新系统设计。批处理EC2实例发出的所有AWS API调用不得经由互联网传输。 以下哪两种组合步骤可满足上述要求?(选择两项)
- A. 在账户B的VPC中,为Amazon S3创建网关VPC端点。针对该网关VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket、s3:PutObject和s3:PutObjectAcl操作。
- B. 在账户B的VPC中,为Amazon S3创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket、s3:PutObject和s3:PutObjectAcl操作。 ✓
- C. 在账户B的VPC中,为AWS KMS创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对KMS密钥执行kms:Encrypt、kms:Decrypt和kms:GenerateDataKey操作。确保该端点已启用私有DNS。 ✓
- D. 在账户B的VPC中,为AWS KMS创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对KMS密钥执行kms:Encrypt、kms:Decrypt和kms:GenerateDataKey操作。确保该端点已禁用私有DNS。
- E. 在账户B的VPC中,验证S3存储桶策略是否允许跨账户使用s3:PutObjectAcl操作。在账户B的VPC中,为Amazon S3创建网关VPC端点。针对该网关VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket和s3:PutObject操作。
正确答案: B. 在账户B的VPC中,为Amazon S3创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket、s3:PutObject和s3:PutObjectAcl操作。, C. 在账户B的VPC中,为AWS KMS创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对KMS密钥执行kms:Encrypt、kms:Decrypt和kms:GenerateDataKey操作。确保该端点已启用私有DNS。
解析
Amazon S3和AWS KMS的VPC端点配置。AWS文档指出,S3使用网关VPC端点(Gateway VPC Endpoint),而KMS使用接口VPC端点(Interface VPC Endpoint)。选项B错误地将S3端点类型设置为接口,但答案仍选择B和C。对于KMS,接口端点启用私有DNS(选项C)确保EC2实例使用默认KMS终端节点,无需代码修改。选项B可能因题目或答案错误被接受,尽管实际应使用网关端点。正确答案BC基于题设的给定答案。