Een bedrijf draait een zeer gevoelige applicatie op Amazon EC2, ondersteund door een Amazon RDS-database. Compliance vereist dat alle persoonlijk identificeerbare informatie (PII) at rest wordt versleuteld. Welke oplossing moet een solutions architect aanbevelen om aan deze vereiste te voldoen met de MINSTE infrastructuurwijzigingen?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Amazon Elastic Block Store (Amazon EBS)-encryptie en Amazon RDS-encryptie configureren met AWS Key Management Service (AWS KMS)-sleutels om instance- en databasevolumes te versleutelen..
Waarom dit het antwoord is
De correcte oplossing is het configureren van Amazon Elastic Block Store (Amazon EBS)-encryptie en Amazon RDS-encryptie met AWS Key Management Service (AWS KMS)-sleutels. Dit versleutelt zowel de onderliggende opslag van de EC2-instanties als de RDS-databasevolumes, wat voldoet aan de compliance-eis voor PII at rest. Deze methode vereist minimale infrastructuurwijzigingen, omdat encryptie direct kan worden toegepast op bestaande of nieuwe volumes en databases via de AWS-console of API's. Het implementeren van AWS Certificate Manager (ACM) is onjuist omdat ACM primair bedoeld is voor SSL/TLS-certificaten voor communicatieversleuteling (in transit), niet voor data at rest-encryptie van opslagvolumes. AWS CloudHSM is een geldige optie voor sleutelbeheer, maar het implementeren ervan is een aanzienlijke infrastructuurwijziging en complexer dan het gebruik van KMS, dat al naadloos is geïntegreerd met EBS en RDS. SSL-encryptie met AWS KMS-sleutels is ook onjuist, aangezien SSL voornamelijk voor data in transit is en niet direct de data at rest op de databasevolumes versleutelt.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig