Q13 — AWS SOA-C02 第1章

第 13/100 题 | ← 返回第1章

一名系统运维管理员希望将生产数据库的副本共享给迁移账户。该生产数据库托管在Amazon RDS数据库实例上,并使用别名为production-rds-key的AWS Key Management Service(AWS KMS)密钥进行静态加密。 为以最少的管理开销满足这些要求,该系统运维管理员必须执行以下哪项操作?

正确答案: A. 在生产账户中拍摄RDS数据库实例的快照。修改production-rds-key KMS密钥的KMS密钥策略,授予迁移账户根用户访问权限。将该快照共享给迁移账户。

解析

AWS KMS密钥策略允许跨账户访问是共享加密RDS快照的前提条件。AWS官方文档明确说明,跨账户共享加密快照时,目标账户必须被授权使用原始KMS密钥解密数据。选项A通过修改KMS密钥策略,授予迁移账户根用户权限,确保其能访问原始密钥解密快照。选项B涉及跨账户复制KMS密钥,步骤复杂且非必要;选项C创建新密钥无法解密原快照;选项D使用S3传输数据增加额外步骤,不符合最小管理开销要求。选项A直接满足共享加密快照的必要条件。