Een bedrijf uploadt regelmatig vertrouwelijke gegevens naar Amazon S3 voor analyse. Het beveiligingsbeleid vereist dat objecten at rest worden versleuteld, de versleutelingssleutel jaarlijks automatisch wordt geroteerd, sleutelrotatie traceerbaar moet zijn in AWS CloudTrail en de sleutelkosten geminimaliseerd moeten worden. Welke oplossing voldoet aan deze vereisten?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Gebruik server-side encryptie met AWS KMS keys (SSE-KMS).
Waarom dit het antwoord is
SSE-KMS (Server-Side Encryption with AWS KMS keys) voldoet aan alle vereisten. Het versleutelt objecten at rest in S3, en AWS KMS (Key Management Service) roteert sleutels automatisch jaarlijks. Alle KMS API-aanroepen, inclusief sleutelrotatie, worden gelogd in CloudTrail voor traceerbaarheid. Bovendien zijn de kosten voor KMS-sleutels over het algemeen lager dan het handmatig beheren van eigen sleutels en voldoet het aan de eis om de kosten te minimaliseren. SSE-C (Server-Side Encryption with Customer-Provided Keys) vereist dat de klant de encryptiesleutels beheert, inclusief rotatie, wat niet automatisch is en de kosten niet minimaliseert. SSE-S3 (Server-Side Encryption with Amazon S3-Managed Keys) versleutelt wel, maar biedt geen automatische jaarlijkse sleutelrotatie die traceerbaar is in CloudTrail. "Door de klant beheerde AWS KMS keys" is geen standaard AWS-encryptieoptie; KMS-sleutels worden beheerd door AWS, hoewel de klant wel het beleid kan definiëren.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig