單項選擇題

一家公司當(dāng)前在Amazon EC2上運行一個安全應(yīng)用程序，該應(yīng)用程序通過AWS Direct Connect從本地位置獲取文件，進行處理，然后將其上傳到單個Amazon S3存儲桶。該應(yīng)用程序使用HTTPS進行到Amazon S3傳輸?shù)募用?，并使用S3服務(wù)器端加密進行靜態(tài)加密。解決方案架構(gòu)師應(yīng)該建議進行以下哪些更改，以使該解決方案更安全而不影響應(yīng)用程序的性能？（）

A.添加一個NAT網(wǎng)關(guān)。更新EC2實例上的安全組，以僅允許訪問和訪問S3 IP范圍。配置S3存儲桶策略，該策略僅允許通過NAT網(wǎng)關(guān)的彈性IP地址進行通信
B.添加一個VPC端點。在VPC終端節(jié)點上配置終端節(jié)點策略，以僅允許訪問所需的Amazon S3存儲桶。實施S3存儲桶策略，該策略僅允許從VPC的源IP范圍進行通信
C.添加一個NAT網(wǎng)關(guān)。更新EC2實例上的安全組，以僅允許訪問和訪問S3IP范圍。配置S3存儲桶策略，該策略僅允許從本地網(wǎng)絡(luò)的源公共IP地址進行通信
D.添加一個VPC端點。在VPC端點上配置端點策略，以僅允許訪問所需的S3存儲桶。實施S3存儲桶策略，該策略僅允許來自VPC端點的通信

你可能感興趣的試題

單項選擇題

一家銀行正在設(shè)計一個在線客戶服務(wù)門戶，客戶可以在其中與客戶服務(wù)代理聊天。如果發(fā)生區(qū)域性災(zāi)難，門戶網(wǎng)站必須維持15分鐘的RPO或RTO。銀行法規(guī)規(guī)定，所有客戶服務(wù)聊天記錄必須在持久性存儲中保存至少7年，聊天對話必須在飛行中進行加密，并且談話記錄必須在靜態(tài)進行加密。數(shù)據(jù)丟失防護小組要求靜態(tài)數(shù)據(jù)必須在使用團隊控制，旋轉(zhuǎn)和吊銷的密鑰進行加密。哪種設(shè)計滿足這些要求？（）

A.聊天應(yīng)用程序?qū)⒚織l聊天消息記錄到Amazon CloudWatch Logs中。預(yù)定的AWS Lambda函數(shù)調(diào)用CloudWatch Logs。每5分鐘創(chuàng)建一次CreateExportTask，以將聊天記錄導(dǎo)出到Amazon S3。S3存儲桶已配置為跨區(qū)域復(fù)制到備份區(qū)域。為CloudWatch Logs組和S3存儲桶指定了單獨的AWS KMS密鑰
B.聊天應(yīng)用程序?qū)⒚總€聊天消息記錄到兩個不同區(qū)域中的兩個不同的Amazon CloudWatch Logs組中，并應(yīng)用了相同的AWS KMS密鑰。兩個CloudWatch Logs組都配置為將日志導(dǎo)出到具有7年保管庫鎖定策略且指定了KMS密鑰的Amazon Glacier保管庫。
C.聊天應(yīng)用程序?qū)⒚織l聊天消息記錄到Amazon CloudWatch Logs中。CloudWatchLogs組上的訂閱過濾器將輸入Amazon Kinesis Data Firehose，后者將聊天消息流式傳輸?shù)絺浞輩^(qū)域中的Amazon S3存儲桶中。為CloudWatch Logs組和Kinesis Data Firehose指定了單獨的AWS KMS密鑰
D.聊天應(yīng)用程序?qū)⒚總€聊天消息記錄到Amazon CloudWatch Logs中。CloudWatch Logs組配置為使用7年保管庫鎖定策略將日志導(dǎo)出到Amazon Glacier保管庫。 Glacier跨區(qū)域復(fù)制將聊天檔案鏡像到備份區(qū)域。為CloudWatch Logs組和Amazon Glacier保管庫指定了單獨的AWS KMS密鑰

單項選擇題

一家公司使用Amazon S3在特定的虛擬私有云（VPC）中存儲只能由Amazon EC2實例訪問的文檔。該公司擔(dān)心，有權(quán)訪問此實例的惡意內(nèi)部人員還會在另一個VPC中設(shè)置EC2實例來訪問這些文檔。以下哪個解決方案將提供所需的保護？（）

A.使用S3 VPC端點和S3存儲桶策略來限制對此VPC端點的訪問。
B.使用EC2實例配置文件和S3存儲桶策略來限制對附加到該實例配置文件的角色的訪問
C.使用S3客戶端加密并將密鑰存儲在實例元數(shù)據(jù)中
D.使用S3服務(wù)器端加密，并使用加密上下文保護密鑰