第026题 - sap
满月荧光海
图片来源及版权:Petr Horálek / Institute of Physics in Opava
说明:是什么在夜里发光?这个夜晚,常见和不常见的光结合在了一起。常见的光芒来自月亮——大家熟悉的天体。图中的满月几乎垂直下落,这是因为观测者在地球赤道附近。随着月亮落山,地球大气中的空气分子和气溶胶优先散射蓝光,使月亮在接近地平线时呈现红色。不常见的光芒是来自浮游生物的荧光,这可能是大家不太熟悉的。人们认为,这些微小生物发出蓝色的光,主要是为了惊吓和威慑捕食者。在这张照片上,地景的荧光主要由含有浮游生物的海浪冲击海滩造成。这张照片于一年前在马尔代夫的Soneva Fushi岛拍摄。
问题翻译 (Question Translation)
English: A security engineer determined that an existing application retrieves credentials to an Amazon RDS for MySQL database from an encrypted file in Amazon S3. For the next version of the application, the security engineer wants to implement the following application design changes to improve security:
- The database must use strong, randomly generated passwords stored in a secure AWS managed service.
- The application resources must be deployed through AWS CloudFormation.
- The application must rotate credentials for the database every 90 days.
A solutions architect will generate a CloudFormation template to deploy the application. Which resources specified in the CloudFormation template will meet the security engineer’s requirements with the LEAST amount of operational overhead?
中文翻译: 一名安全工程师确定,现有应用程序从 Amazon S3 中的加密文件中检索 Amazon RDS for MySQL 数据库的凭证。在下一个版本中,安全工程师希望实施以下应用程序设计更改,以提高安全性:
- 数据库必须使用强大的、随机生成的密码,并存储在安全的 AWS 管理服务中。
- 应用程序资源必须通过 AWS CloudFormation 部署。
- 应用程序必须每 90 天轮换一次数据库凭证。
解决方案架构师将生成一个 CloudFormation 模板来部署该应用程序。针对云形成模板中指定的哪些资源可以以最低的操作开销满足安全工程师的要求?
选项分析 (Answer Analysis)
选项 A
Generate the database password as a secret resource using AWS Secrets Manager. Create an AWS Lambda function resource to rotate the database password. Specify a Secrets Manager RotationSchedule resource to rotate the database password every 90 days. 使用 AWS Secrets Manager 生成数据库密码作为秘密资源。创建一个 AWS Lambda 函数资源来轮换数据库密码。指定一个 Secrets Manager RotationSchedule 资源以每 90 天轮换一次数据库密码。
分析:
- 优点:
- AWS Secrets Manager 支持自动密码轮换,使用 RotationSchedule 可以简化管理。
- 低操作开销,只需设置 Secrets Manager 即可自动处理密码管理。
此选项满足所有安全要求。
选项 B
Generate the database password as a SecureString parameter type using AWS Systems Manager Parameter Store. Create an AWS Lambda function resource to rotate the database password. Specify a Parameter Store RotationSchedule resource to rotate the database password every 90 days. 使用 AWS Systems Manager Parameter Store 生成数据库密码作为 SecureString 参数类型。创建一个 AWS Lambda 函数资源来轮换数据库密码。指定一个 Parameter Store RotationSchedule 资源以每 90 天轮换一次数据库密码。
分析:
- 缺点:
- AWS Systems Manager Parameter Store 本身并不支持资源的密码轮换,这使得通过 Lambda 函数轮换密码的复杂性增加。
虽然可以完成目标,但相比之下管理更复杂,因此操作开销增加。
选项 C
Generate the database password as a secret resource using AWS Secrets Manager. Create an AWS Lambda function resource to rotate the database password. Create an Amazon EventBridge scheduled rule resource to trigger the Lambda function password rotation every 90 days. 使用 AWS Secrets Manager 生成数据库密码作为秘密资源。创建一个 AWS Lambda 函数资源来轮换数据库密码。创建一个 Amazon EventBridge 计划规则资源来触发 Lambda 函数每 90 天轮换一次密码。
分析:
- 缺点:
- 虽然使用 Secrets Manager 生成密码,但 EventBridge 的设置增加了配置的复杂性及操作开销。
不如选项 A 简单有效,因此不是最优选择。
选项 D
Generate the database password as a SecureString parameter type using AWS Systems Manager Parameter Store. Specify an AWS AppSync DataSource resource to automatically rotate the database password every 90 days. 使用 AWS Systems Manager Parameter Store 生成数据库密码作为 SecureString 参数类型。指定一个 AWS AppSync 数据源资源以自动轮换数据库密码每 90 天。
分析:
- 缺点:
- AWS AppSync 数据源并不是用于密码轮换的合适方案,并且并未提供原生的密码轮换功能。
所以该选项无法达成所需目标,且操作开销显著不必要。
最佳答案 (Correct Answer)
答案:A
详细解析 (Detailed Explanation)
1. 为什么选择 A?
- 自动化与简便性:
- 通过使用 AWS Secrets Manager,密码生成、存储和轮换都可以自动完成,减少了管理的复杂性和操作开销。
- 指定的 RotationSchedule 可以确保密码每 90 天自动轮换,符合安全需求。
2. 为什么不选择其他选项?
- **B:**虽然能完成功能,但相对较复杂,管理难度大。
- **C:**虽然可行,但额外配置 EventBridge 显得繁琐。
- **D:**不适合用于密码轮换,实现不切实际。
总结 (Summary)
选择 A 是最具成本效益且符合安全需求的解决方案,确保了低操作开销和高效的密码管理。
如有其他问题,请继续询问!