SAP-C02 第 111 题
题目
A solutions architect is auditing the security setup or an AWS Lambda function for a company. The Lambda function retrieves, the latest changes from an Amazon Aurora database. The Lambda function and the database run in the same VPC. Lambda environment variables are providing the database credentials to the Lambda function. The Lambda function aggregates data and makes the data available in an Amazon S3 bucket that is configured for server-side encryption with AWS KMS managed encryption keys (SSE-KMS). The data must not travel across the Internet. If any database credentials become compromised, the company needs a solution that minimizes the impact of the compromise. What should the solutions architect recommend to meet these requirements?
中文翻译:
解决方案架构师正在审核公司的安全设置或 AWS Lambda 函数。 Lambda 函数从 Amazon Aurora 数据库检索最新更改。 Lambda 函数和数据库在同一 VPC 中运行。 Lambda 环境变量向 Lambda 函数提供数据库凭据。 Lambda 函数聚合数据并使数据在 Amazon S3 存储桶中可用,该存储桶配置为使用 AWS KMS 托管加密密钥 (SSE-KMS) 进行服务器端加密。数据不得通过互联网传输。如果任何数据库凭据遭到泄露,公司需要一种解决方案来最大限度地减少泄露的影响。解决方案架构师应该建议什么来满足这些要求?
选项
A. Enable IAM database authentication on the Aurora DB cluster. Change the IAM role for the Lambda function to allow the function to access the database by using IAM database authentication. Deploy a gateway VPC endpoint for Amazon S3 in the VPC.
中文翻译:
在 Aurora 数据库集群上启用 IAM 数据库身份验证。更改 Lambda 函数的 IAM 角色以允许该函数使用 IAM 数据库身份验证访问数据库。在 VPC 中部署 Amazon S3 的网关 VPC 终端节点。
B. Enable IAM database authentication on the Aurora DB cluster. Change the IAM role for the Lambda function to allow the function to access the database by using IAM database authentication. Enforce HTTPS on the connection to Amazon S3 during data transfers.
中文翻译:
在 Aurora 数据库集群上启用 IAM 数据库身份验证。更改 Lambda 函数的 IAM 角色以允许该函数使用 IAM 数据库身份验证访问数据库。在数据传输期间对与 Amazon S3 的连接强制执行 HTTPS。
C. Save the database credentials in AWS Systems Manager Parameter Store. Set up password rotation on the credentials in Parameter Store. Change the IAM role for the Lambda function to allow the function to access Parameter Store. Modify the Lambda function to retrieve the credentials from Parameter Store. Deploy a gateway VPC endpoint for Amazon S3 in the VPC.
中文翻译:
将数据库凭证保存在 AWS Systems Manager Parameter Store 中。在 Parameter Store 中的凭据上设置密码轮换。更改 Lambda 函数的 IAM 角色以允许该函数访问 Parameter Store。修改 Lambda 函数以从 Parameter Store 检索凭证。在 VPC 中部署 Amazon S3 的网关 VPC 终端节点。
D. Save the database credentials in AWS Secrets Manager. Set up password rotation on the credentials in Secrets Manager. Change the IAM role for the Lambda function to allow the function to access Secrets Manager. Modify the Lambda function to retrieve the credentials from Secrets Manager. Enforce HTTPS on the connection to Amazon S3 during data transfers. Amazon S3。
中文翻译:
将数据库凭证保存在 AWS Secrets Manager 中。在 Secrets Manager 中的凭证上设置密码轮换。更改 Lambda 函数的 IAM 角色以允许该函数访问 Secrets Manager。修改 Lambda 函数以从 Secrets Manager 检索凭证。在数据传输期间对与 Amazon S3 的连接强制执行 HTTPS。亚马逊S3。
答案
A
解析
正确答案:A 解析: 本题应选择 A。 正确选项: A. 在 Aurora 数据库集群上启用 IAM 数据库身份验证。更改 Lambda 函数的 IAM 角色以允许该函数使用 IAM 数据库身份验证访问数据库。在 VPC 中部署 Amazon S3 的网关 VPC 终端节点。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安...