Q53 — AWS SOA-C02 第1章
第 53/100 题 | ← 返回第1章
一家公司正与外部供应商合作提供数据处理服务。为此集成,供应商需在其AWS账户中托管该公司数据于Amazon S3存储桶。供应商允许该公司提供AWS Key Management Service(AWS KMS)密钥以加密其数据。供应商已向该公司提供了IAM角色ARN用于此集成。 系统运维管理员应如何配置此集成?
- A. 创建一个新的KMS密钥。将供应商的IAM角色ARN添加到该KMS密钥策略中。向供应商提供新KMS密钥的ARN。 ✓
- B. 创建一个新的KMS密钥。创建一个新的IAM密钥。将供应商的IAM角色ARN添加到附加至IAM用户的内联策略中。向供应商提供新IAM用户ARN。
- C. 使用KMS托管的S3密钥配置加密。将供应商的IAM角色ARN添加到KMS密钥策略中。向供应商提供KMS托管S3密钥的ARN。
- D. 使用KMS托管的S3密钥配置加密。创建一个S3存储桶。将供应商的IAM角色ARN添加到S3存储桶策略中。向供应商提供S3存储桶ARN。
正确答案: A. 创建一个新的KMS密钥。将供应商的IAM角色ARN添加到该KMS密钥策略中。向供应商提供新KMS密钥的ARN。
解析
题干明确要求公司“提供”一个AWS KMS密钥给供应商用于加密,即需使用客户自建密钥(CMK),而非AWS托管密钥(选项C、D中的KMS托管S3密钥)。跨账户使用KMS密钥的唯一合规方式是在密钥策略中显式授予对方账户的IAM角色权限(选项A)。选项B错误引入IAM用户,与题干提供的角色ARN不符;选项C、D使用AWS托管密钥,且无法由客户“提供”,违反题干前提。因此,A是唯一正确配置。