A company performs monthly maintenance on its AWS infrastructure. During these maintenance activities, the company needs to rotate the credentials for its Amazon RDS for MySQL databases across multiple AWS Regions.
Which solution will meet these requirements with the LEAST operational overhead?
A. Store the credentials as secrets in AWS Secrets Manager. Use multi-Region secret replication for the required Regions. Configure Secrets Manager to rotate the secrets on a schedule.
B. Store the credentials as secrets in AWS Systems Manager by creating a secure string parameter. Use multi-Region secret replication for the required Regions. Configure Systems Manager to rotate the secrets on a schedule.
C. Store the credentials in an Amazon S3 bucket that has server-side encryption (SSE) enabled. Use Amazon EventBridge (Amazon CloudWatch Events) to invoke an AWS Lambda function to rotate the credentials.
D. Encrypt the credentials as secrets by using AWS Key Management Service (AWS KMS) multi-Region customer managed keys. Store the secrets in an Amazon DynamoDB global table. Use an AWS Lambda function to retrieve the secrets from DynamoDB. Use the RDS API to rotate the secrets.
A
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
某公司需要在多個AWS區域中為其Amazon RDS for MySQL數據庫定期輪換憑證。需要一個最低操作開銷的解決方案。
A. 正確。將憑證作為秘密存儲在AWS Secrets Manager中。使用所需區域的多區域秘密復制。配置Secrets Manager按計劃輪換秘密。AWS Secrets Manager 專門設計用于管理、檢索和輪換數據庫憑證等秘密。它支持多區域秘密復制,可以在多個 AWS 區域中自動復制和管理秘密。配置按計劃自動旋轉秘密可以大大減少手動操作的需要,從而降低操作開銷。
B. 不正確。將憑證作為秘密存儲在 AWS Systems Manager 中,通過創建安全字符串參數。使用所需區域的多區域秘密復制。配置Systems Manager按計劃輪換秘密。AWS Systems Manager Parameter Store 也可以用于存儲和管理秘密,但它不像 Secrets Manager 那樣專門用于秘密管理,本身不直接支持按計劃自動旋轉秘密,且多區域復制需要額外的配置和管理。
C. 不正確。將憑證存儲在啟用了服務器端加密(SSE)的Amazon S3存儲桶中。使用Amazon EventBridge(Amazon CloudWatch Events)調用AWS Lambda函數來輪換憑證。該方案實現復雜,維護成本高,偏離了 AWS 最佳實踐。
D. 不正確。使用 AWS Key Management Service(AWS KMS)多區域客戶管理的密鑰加密憑證作為秘密。將秘密存儲在 Amazon DynamoDB 全局表中。使用 AWS Lambda 函數從 DynamoDB 檢索秘密。使用RDS API輪換秘密。該方案需要使用多個 AWS 服務(KMS、DynamoDB、Lambda、RDS API),需要復雜的配置和集成。DynamoDB 全局表提供了跨區域的數據復制,但使用它來存儲和管理憑證并不是最直接或最高效的方法。此外,實現憑證的旋轉需要編寫和維護Lambda函數,以及調用RDS API,增加了操作的復雜性和開銷。