A company is designing a new application stack. The design includes web servers and backend servers that are hosted on Amazon EC2 instances. The design also includes an Amazon Aurora MySQL DB cluster. The EC2 instances are in an Auto Scaling group that uses launch templates. The EC2 instances for the web layer and the backend layer are backed by Amazon Elastic Block Store (Amazon EBS) volumes. No layers are encrypted at rest. A security engineer needs to implement encryption at rest.
Which combination of steps will meet these requirements? (Choose two.)
A. Modify EBS default encryption settings in the target AWS Region to enable encryption. Use an Auto Scaling group instance refresh.
B. Modify the launch templates for the web layer and the backend layer to add AWS Certificate Manager (ACM) encryption for the attached EBS volumes. Use an Auto Scaling group instance refresh.
C. Create a new AWS Key Management Service (AWS KMS) encrypted DB cluster from a snapshot of the existing DB cluster.
D. Apply AWS Key Management Service (AWS KMS) encryption to the existing DB cluster.
E. Apply AWS Certificate Manager (ACM) encryption to the existing DB cluster.
AC
一家公司正在设计一个新的应用程序栈。该设计包括托管在 Amazon EC2 实例上的 Web 服务器和后端服务器。设计还包括一个 Amazon Aurora MySQL 数据库集群。EC2 实例位于一个使用启动模板的自动扩展组中。Web 层和后端层的 EC2 实例由 Amazon 弹性块存储(Amazon EBS)卷提供支持。没有任何层进行了静态加密。安全工程师需要实施静态加密。
哪些步骤组合将满足这些要求?(选择两项。)
公司设计新应用程序栈,包含 EC2 实例(Web 和后端服务器)和 Aurora MySQL 数据库集群,EC2 实例在自动扩展组且使用启动模板,EBS 卷未静态加密,安全工程师要实施静态加密,需选出满足要求的两个步骤组合。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。修改目标 AWS 区域中的 EBS 默认加密设置以启用加密。使用自动扩展组实例刷新。修改 EBS 默认加密设置可确保后续创建的 EBS 卷自动加密。使用自动扩展组实例刷新能替换现有实例,使新实例使用加密的 EBS 卷,满足对 EC2 实例相关 EBS 卷静态加密的要求。
B. 不正确。修改 Web 层和后端层的启动模板,为附加的 EBS 卷添加 AWS Certificate Manager (ACM) 加密。使用自动扩展组实例刷新。ACM 主要用于管理证书以加密网络通信,不能用于对 EBS 卷进行静态加密,所以该方案无法满足静态加密的要求。
C. 正确。从现有数据库集群的快照创建一个新的使用 AWS Key Management Service (AWS KMS) 加密的 DB 集群。通过从现有快照创建新的使用 KMS 加密的 DB 集群,可实现对 Aurora MySQL 数据库集群的静态加密,满足对数据库静态加密的要求。
D. 不正确。对现有的 DB 集群应用 AWS Key Management Service (AWS KMS) 加密。使用 KMS 加密已经存在的数据库,需先创建快照,再基于快照创建加密数据库。
E. 不正确。对现有的 DB 集群应用 AWS Certificate Manager (ACM) 加密。ACM 不能用于对数据库集群进行静态加密,主要用于网络通信加密,所以该方案无法满足静态加密的要求。
Amazon EC2:提供可扩展的计算能力,实例可托管各种应用。自动扩展组能根据需求自动调整实例数量,启动模板用于定义实例配置。
Amazon Elastic Block Store (Amazon EBS):为 EC2 实例提供持久块存储卷,可对卷进行加密以保护数据安全。
Amazon Aurora MySQL:一种兼容 MySQL 的云原生关系数据库,支持多种加密方式来保护数据。
加密相关服务:
AWS Key Management Service (AWS KMS):用于创建和管理加密密钥,可对 EBS 卷、Aurora 数据库等资源进行加密。
AWS Certificate Manager (ACM):主要用于管理 SSL/TLS 证书,用于加密网络通信,并非用于静态数据加密。
自动扩展组实例刷新:可自动替换自动扩展组中的实例,用于应用配置更改等操作。