Una empresa está desarrollando una nueva aplicación en AWS. La aplicación incluye un clúster de Amazon ECS, un bucket de Amazon S3 que almacena los activos de la aplicación y una base de datos Amazon RDS for MySQL que contiene un conjunto de datos confidenciales. La empresa quiere asegurarse de que solo el clúster de ECS pueda acceder a la base de datos de RDS y al bucket de S3. ¿Qué solución cumple estos requisitos?
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: Cree una nueva clave administrada por el cliente de AWS Key Management Service (AWS KMS) para cifrar tanto el bucket de S3 como la base de datos RDS for MySQL. Asegúrese de que la política de claves de KMS otorgue permisos de cifrado y descifrado al rol de ejecución de tareas de ECS..
Por qué esta es la respuesta
La opción correcta es crear una clave administrada por el cliente (CMK) en AWS KMS y configurar su política para otorgar permisos de cifrado y descifrado al rol de ejecución de tareas de ECS. Esto asegura que solo las tareas de ECS con ese rol puedan acceder a los datos cifrados en S3 y RDS, ya que la clave KMS es necesaria para descifrar. Las opciones incorrectas no cumplen completamente el requisito de acceso exclusivo. Una clave administrada por AWS no permite controlar los permisos de acceso a la clave a nivel de rol de ECS. Las políticas de bucket de S3 y los grupos de seguridad de RDS restringen el acceso a la red, pero no garantizan que solo el clúster de ECS pueda descifrar los datos si alguien más obtiene acceso a la red. Los VPC endpoints mejoran la seguridad de la red, pero no gestionan la autorización a nivel de datos cifrados como lo hace KMS.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta