SAP-C02 第 495 题
题目
A company has an application that uses AWS Key Management Service (AWS KMS) to encrypt and decrypt data. The application stores data in an Amazon S3 bucket in an AWS Region. Company security policies require the data to be encrypted before the data is placed into the S3 bucket. The application must decrypt the data when the application reads files from the S3 bucket. The company replicates the S3 bucket to other Regions. A solutions architect must design a solution so that the application can encrypt and decrypt data across Regions. The application must use the same key to decrypt the data in each Region. Which solution will meet these requirements?
中文翻译:
一家公司有一个使用 AWS Key Management Service (AWS KMS) 来加密和解密数据的应用程序。该应用程序将数据存储在 AWS 区域的 Amazon S3 存储桶中。公司安全策略要求在将数据放入 S3 存储桶之前对数据进行加密。当应用程序从 S3 存储桶读取文件时,应用程序必须解密数据。该公司将 S3 存储桶复制到其他区域。解决方案架构师必须设计一个解决方案,以便应用程序可以跨区域加密和解密数据。应用程序必须使用相同的密钥来解密每个区域中的数据。哪种解决方案可以满足这些要求?
选项
A. Create a KMS multi-Region primary key. Use the KMS multi-Region primary key to create a KMS multi-Region replica key in each additional Region where the application is running. Update the application code to use the specific replica key in each Region.
中文翻译:
创建 KMS 多区域主键。使用 KMS 多区域主键在运行应用程序的每个附加区域中创建 KMS 多区域副本密钥。更新应用程序代码以使用每个区域中的特定副本密钥。
B. Create a new customer managed KMS key in each additional Region where the application is running. Update the application code to use the specific KMS key in each Region.
中文翻译:
在运行应用程序的每个附加区域中创建新的客户管理的 KMS 密钥。更新应用程序代码以使用每个区域中的特定 KMS 密钥。
C. Use AWS Private Certificate Authority to create a new certificate authority (CA) in the primary Region. Issue a new private certificate from the CA for the application’s website URL. Share the CA with the additional Regions by using AWS Resource Access Manager (AWS RAM). Update the application code to use the shared CA certificates in each Region.
中文翻译:
使用 AWS 私有证书颁发机构在主要区域中创建新的证书颁发机构 (CA)。从 CA 为应用程序的网站 URL 颁发新的私有证书。使用 AWS Resource Access Manager (AWS RAM) 与其他区域共享 CA。更新应用程序代码以使用每个区域中的共享 CA 证书。
D. Use AWS Systems Manager Parameter Store to create a parameter in each additional Region where the application is running. Export the key material from the KMS key in the primary Region. Store the key material in the parameter in each Region. Update the application code to use the key data from the parameter in each Region.
中文翻译:
使用 AWS Systems Manager Parameter Store 在运行应用程序的每个附加区域中创建参数。从主要区域中的 KMS 密钥导出密钥材料。将密钥材料存储在每个Region的参数中。更新应用程序代码以使用每个区域中参数的关键数据。
答案
A
解析
正确答案:A 解析: 本题应选择 A。 正确选项: A. 创建 KMS 多区域主键。使用 KMS 多区域主键在运行应用程序的每个附加区域中创建 KMS 多区域副本密钥。更新应用程序代码以使用每个区域中的特定副本密钥。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:S3...