Q83 — AWS SCS-C02 第1章
第 83/100 题 | ← 返回第1章
安全工程师正在实施一项解决方案,使用户能够无缝加密Amazon S3对象,而无需直接接触密钥。该解决方案必须具备高度可扩展性,且无需持续人工管理。此外,组织必须能够立即删除加密密钥。
- A. 使用AWS KMS的AWS托管密钥,并使用ScheduleKeyDeletion API,将PendingWindowInDays参数设为0,以便在必要时移除密钥。
- B. 使用KMS导入的密钥材料,然后在必要时使用DeleteImportedKeyMaterial API移除密钥材料。 ✓
- C. 使用AWS CloudHSM存储密钥,然后使用CloudHSM API或PKCS#11库在必要时删除密钥。
- D. 使用Systems Manager Parameter Store存储密钥,然后使用该服务的API操作在必要时删除密钥。
正确答案: B. 使用KMS导入的密钥材料,然后在必要时使用DeleteImportedKeyMaterial API移除密钥材料。
解析
AWS KMS客户自有密钥支持导入外部密钥材料(B)。AWS官方文档指出,使用DeleteImportedKeyMaterial API可立即删除导入的密钥材料,使密钥不可用。AWS托管密钥(A)的ScheduleKeyDeletion需等待最短7天,无法满足立即删除。CloudHSM(C)需自行管理HSM集群,增加运维负担。Systems Manager Parameter Store(D)非专用密钥管理服务,不适合大规模加密场景。