Q95 — AWS SCS-C02 第1章
第 95/100 题 | ← 返回第1章
一家公司正在调研保护敏感数据的控制措施。该公司使用Amazon Simple Notification Service(Amazon SNS)主题,将应用组件的消息发布至自定义日志服务。 公司担心某个应用组件可能会发布敏感数据,从而意外暴露于事务日志和调试日志中。 以下哪种解决方案可保护这些消息中的敏感数据免于意外暴露?
- A. 使用Amazon Macie扫描SNS主题中的SNS消息以识别敏感数据元素。创建一个AWS Lambda函数,在Macie记录新发现时对消息内的敏感数据进行掩码处理。
- B. 配置入站消息数据保护策略。在该策略中包含De-identify操作,以掩码消息内的敏感数据。将该策略应用于SNS主题。 ✓
- C. 使用AWS Key Management Service(AWS KMS)客户托管密钥配置SNS主题,以加密消息内的数据元素。向所有消息发布者的IAM角色授予访问该密钥以加密数据的权限。
- D. 为传输至SNS主题的敏感数据创建Amazon GuardDuty发现项。创建一个AWS Security Hub自定义补救操作,以阻止包含敏感数据的消息投递给SNS主题的订阅者。
正确答案: B. 配置入站消息数据保护策略。在该策略中包含De-identify操作,以掩码消息内的敏感数据。将该策略应用于SNS主题。
解析
该题涉及Amazon SNS的数据保护功能,特别是消息内容中的敏感信息处理。AWS官方文档提到,SNS支持配置数据保护策略,通过设置入站消息策略中的“De-identify”操作(如掩码)可实时对敏感字段进行脱敏。选项B直接采用内置策略,在消息发布时立即处理敏感数据,避免明文暴露于日志。选项A依赖事后扫描和Lambda处理,存在延迟风险;选项C加密并不能防止密文存储于日志;选项D依赖检测后的响应机制,无法实时阻断。正确方法为预先配置策略,即时脱敏。