SAP-C02 学习助手

SAP-C02 第 51 题

S3 KMS

题目

A health insurance company stores personally identifiable information (PII) in an Amazon S3 bucket. The company uses server-side encryption with S3 managed encryption keys (SSE-S3) to encrypt the objects. According to a new requirement, all current and future objects in the S3 bucket must be encrypted by keys that the company’s security team manages. The S3 bucket does not have versioning enabled. Which solution will meet these requirements?

中文翻译:
一家健康保险公司将个人身份信息 (PII) 存储在 Amazon S3 存储桶中。该公司使用带有 S3 托管加密密钥 (SSE-S3) 的服务器端加密来加密对象。根据新要求,S3 存储桶中当前和未来的所有对象都必须使用公司安全团队管理的密钥进行加密。 S3 存储桶未启用版本控制。哪种解决方案可以满足这些要求?

选项

A. In the S3 bucket properties, change the default encryption to SSE-S3 with a customer managed key. Use the AWS CLI to re- upload all objects in the S3 bucket. Set an S3 bucket policy to deny unencrypted PutObject requests.

中文翻译:
在 S3 存储桶属性中,使用客户管理的密钥将默认加密更改为 SSE-S3。使用 AWS CLI 重新上传 S3 存储桶中的所有对象。设置 S3 存储桶策略以拒绝未加密的 PutObject 请求。

B. In the S3 bucket properties, change the default encryption to server-side encryption with AWS KMS managed encryption keys (SSE-KMS). Set an S3 bucket policy to deny unencrypted PutObject requests. Use the AWS CLI to re-upload all objects in the S3 bucket.

中文翻译:
在 S3 存储桶属性中,将默认加密更改为使用 AWS KMS 托管加密密钥 (SSE-KMS) 的服务器端加密。设置 S3 存储桶策略以拒绝未加密的 PutObject 请求。使用 AWS CLI 重新上传 S3 存储桶中的所有对象。

C. In the S3 bucket properties, change the default encryption to server-side encryption with AWS KMS managed encryption keys (SSE-KMS). Set an S3 bucket policy to automatically encrypt objects on GetObject and PutObject requests.

中文翻译:
在 S3 存储桶属性中,将默认加密更改为使用 AWS KMS 托管加密密钥 (SSE-KMS) 的服务器端加密。设置 S3 存储桶策略以自动加密 GetObject 和 PutObject 请求上的对象。

D. In the S3 bucket properties, change the default encryption to AES-256 with a customer managed key. Attach a policy to deny unencrypted PutObject requests to any entities that access the S3 bucket. Use the AWS CLI to re-upload all objects in the S3 bucket.

中文翻译:
在 S3 存储桶属性中,使用客户管理的密钥将默认加密更改为 AES-256。附加策略以拒绝对访问 S3 存储桶的任何实体的未加密 PutObject 请求。使用 AWS CLI 重新上传 S3 存储桶中的所有对象。

答案

B

解析

正确答案:B 解析: 本题应选择 B。 正确选项: B. 在 S3 存储桶属性中,将默认加密更改为使用 AWS KMS 托管加密密钥 (SSE-KMS) 的服务器端加密。设置 S3 存储桶策略以拒绝未加密的 PutObject 请求。使用 AWS CLI 重新上传 S3 存储桶中的所有对象。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠...

登录后查看完整解析