Q83 — AWS SCS-C02 第1章

第 83/100 题 | ← 返回第1章

安全工程师正在实施一项解决方案,使用户能够无缝加密Amazon S3对象,而无需直接接触密钥。该解决方案必须具备高度可扩展性,且无需持续人工管理。此外,组织必须能够立即删除加密密钥。

正确答案: B. 使用KMS导入的密钥材料,然后在必要时使用DeleteImportedKeyMaterial API移除密钥材料。

解析

AWS KMS客户自有密钥支持导入外部密钥材料(B)。AWS官方文档指出,使用DeleteImportedKeyMaterial API可立即删除导入的密钥材料,使密钥不可用。AWS托管密钥(A)的ScheduleKeyDeletion需等待最短7天,无法满足立即删除。CloudHSM(C)需自行管理HSM集群,增加运维负担。Systems Manager Parameter Store(D)非专用密钥管理服务,不适合大规模加密场景。