Uma empresa carrega regularmente dados confidenciais para o Amazon S3 para análise. A política de segurança exige que os objetos sejam criptografados em repouso, a chave de criptografia deve ser rotacionada automaticamente anualmente, a rotação da chave deve ser rastreável no AWS CloudTrail e os custos da chave devem ser minimizados. Qual solução atende a esses requisitos?
Escolha uma resposta
Toque em uma opção para verificar sua resposta.
Resposta correta: Usar criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS).
Por que esta é a resposta
A opção SSE-KMS (Server-Side Encryption with AWS KMS keys) é a correta porque atende a todos os requisitos. Ela criptografa objetos em repouso no S3, usa chaves gerenciadas pelo AWS Key Management Service (KMS), que rotaciona automaticamente as chaves anualmente por padrão. As operações do KMS são registradas no AWS CloudTrail, garantindo rastreabilidade. Além disso, o KMS é um serviço gerenciado que oferece um custo-benefício favorável para gerenciamento de chaves. SSE-C (chaves fornecidas pelo cliente) não rotaciona chaves automaticamente e o gerenciamento é responsabilidade do cliente. SSE-S3 (chaves gerenciadas pelo Amazon S3) não permite rotação automática de chaves rastreável no CloudTrail, e as chaves não são gerenciadas pelo KMS. A opção de chaves do AWS KMS gerenciadas pelo cliente (CMK) é redundante, pois o SSE-KMS já utiliza chaves do KMS, e o requisito de "custos minimizados" favorece o uso do KMS padrão em vez de uma CMK personalizada, que pode ter custos adicionais dependendo do uso.
Passe no seu exame — sem a busca interminável por respostas
Obtenha todas as perguntas e explicações verificadas para este exame em um só lugar e economize horas de preparação. Mais de 1.000 certificações · Mais de 20 idiomas · Grátis para começar.
Passe no seu exame mais rápido → Não é necessário cartão