A company has an application that runs on Amazon EC2 instances and uses an Amazon Aurora database. The EC2 instances connect to the database by using user names and passwords that are stored locally in a file. The company wants to minimize the operational overhead of credential management.
What should a solutions architect do to accomplish this goal?
A. Use AWS Secrets Manager. Turn on automatic rotation.
B. Use AWS Systems Manager Parameter Store. Turn on automatic rotation.
C. Create an Amazon S3 bucket to store objects that are encrypted with an AWS Key Management Service (AWS KMS) encryption key. Migrate the credential file to the S3 bucket. Point the application to the S3 bucket.
D. Create an encrypted Amazon Elastic Block Store (Amazon EBS) volume for each EC2 instance. Attach the new EBS volume to each EC2 instance. Migrate the credential file to the new EBS volume. Point the application to the new EBS volume.
A
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
某公司有一个运行在Amazon EC2实例上的应用,该应用使用存储在本地文件中的用户名和密码连接到Amazon Aurora数据库。公司希望最小化凭证管理的操作开销。为了达成这一目标,解决方案架构师应该怎么做?
A. 正确。使用AWS Secrets Manager,并开启自动轮换。AWS Secrets Manager 是一种服务,可以帮助你保护访问应用程序、服务和IT资源所需的秘密。它可以自动轮换秘密,减少手动管理秘密的需求,从而降低泄露风险并减轻管理负担。对于数据库凭证,使用Secrets Manager是非常合适的,因为它可以安全地存储凭证,并提供API供应用程序检索,同时支持自动轮换凭证,确保安全性。
B. 不正确。使用AWS Systems Manager Parameter Store,并开启自动轮换。AWS Systems Manager Parameter Store 提供了一个集中存储配置数据和秘密(如数据库凭证)的地方。虽然它也支持自动轮换某些类型的参数,但对于数据库凭证的完整管理和安全性,Secrets Manager提供了更专门化的功能,如更细粒度的访问控制和集成AWS IAM策略。
C. 不正确。创建一个Amazon S3存储桶来存储使用AWS Key Management Service (AWS KMS) 加密密钥加密的对象。将凭证文件迁移到S3存储桶。将应用指向S3存储桶。
D. 不正确。S3更适合存储的对象为静态数据,不会自动轮换密钥,而且也并不是为存储和检索频繁变化的秘密(如数据库凭证)而设计的。