Q13 — AWS SOA-C02 第1章
第 13/100 题 | ← 返回第1章
一名系统运维管理员希望将生产数据库的副本共享给迁移账户。该生产数据库托管在Amazon RDS数据库实例上,并使用别名为production-rds-key的AWS Key Management Service(AWS KMS)密钥进行静态加密。 为以最少的管理开销满足这些要求,该系统运维管理员必须执行以下哪项操作?
- A. 在生产账户中拍摄RDS数据库实例的快照。修改production-rds-key KMS密钥的KMS密钥策略,授予迁移账户根用户访问权限。将该快照共享给迁移账户。 ✓
- B. 在迁移账户中创建一个RDS只读副本。配置KMS密钥策略,将production-rds-key KMS密钥复制到迁移账户。
- C. 在生产账户中拍摄RDS数据库实例的快照。将该快照共享给迁移账户。在迁移账户中,创建一个具有相同别名的新KMS密钥。
- D. 使用原生数据库工具集将RDS数据库实例导出到Amazon S3。创建一个S3存储桶及一个允许生产账户与迁移账户之间跨账户访问的S3存储桶策略。使用原生数据库工具集将数据库从Amazon S3导入到一个新的RDS数据库实例中。
正确答案: A. 在生产账户中拍摄RDS数据库实例的快照。修改production-rds-key KMS密钥的KMS密钥策略,授予迁移账户根用户访问权限。将该快照共享给迁移账户。
解析
AWS KMS密钥策略允许跨账户访问是共享加密RDS快照的前提条件。AWS官方文档明确说明,跨账户共享加密快照时,目标账户必须被授权使用原始KMS密钥解密数据。选项A通过修改KMS密钥策略,授予迁移账户根用户权限,确保其能访问原始密钥解密快照。选项B涉及跨账户复制KMS密钥,步骤复杂且非必要;选项C创建新密钥无法解密原快照;选项D使用S3传输数据增加额外步骤,不符合最小管理开销要求。选项A直接满足共享加密快照的必要条件。