題目

A company is building an application in the AWS Cloud. The application will store data in Amazon S3 buckets in two AWS Regions. The company must use an AWS Key Management Service (AWS KMS) customer managed key to encrypt all data that is stored in the S3 buckets. The data in both S3 buckets must be encrypted and decrypted with the same KMS key. The data and the key must be stored in each of the two Regions.
Which solution will meet these requirements with the LEAST operational overhead?
A. Create an S3 bucket in each Region. Configure the S3 buckets to use server-side encryption with Amazon S3 managed encryption keys (SSE-S3). Configure replication between the S3 buckets.
B. Create a customer managed multi-Region KMS key. Create an S3 bucket in each Region. Configure replication between the S3 buckets. Configure the application to use the KMS key with client-side encryption.
C. Create a customer managed KMS key and an S3 bucket in each Region. Configure the S3 buckets to use server-side encryption with Amazon S3 managed encryption keys (SSE-S3). Configure replication between the S3 buckets.
D. Create a customer managed KMS key and an S3 bucket in each Region. Configure the S3 buckets to use server-side encryption with AWS KMS keys (SSE-KMS). Configure replication between the S3 buckets.

  參考答案

D

  參考解析

技巧：排除明顯錯誤選項，在沒有明顯錯誤的選項中選擇最合理的選項。
一家公司正在 AWS 云中構建應用程序。該應用程序將在兩個 AWS 區域的 Amazon S3 存儲桶中存儲數據。公司必須使用 AWS 密鑰管理服務（AWS KMS）客戶管理的密鑰來加密存儲在 S3 存儲桶中的所有數據。兩個 S3 存儲桶中的數據必須使用相同的 KMS 密鑰進行加密和解密，數據和密鑰必須分別存儲在兩個區域中。

題目要求在兩個 AWS 區域中部署 S3 存儲桶，并使用同一個客戶管理的 KMS 密鑰（Customer Managed Key, CMK）對所有數據進行加密和解密，同時需滿足以下條件：
數據加密：兩個區域的 S3 存儲桶均使用相同的 KMS 密鑰。
密鑰存儲：KMS 密鑰和數據需在兩個區域中均可用（避免跨區域調用密鑰導致延遲或失敗）。
最低運維開銷：方案需盡可能簡化配置和管理。

A. 不正確。在每個區域中創建一個 S3 存儲桶。將 S3 存儲桶配置為使用具有 Amazon S3 托管加密密鑰（SSE-S3）的服務器端加密。配置 S3 存儲桶之間的復制。SSE-S3 使用 S3 管理的密鑰，無需配置 KMS，而不是客戶管理的 KMS 密鑰。這與題目要求的“使用 AWS KMS 客戶管理的密鑰”不符。即使配置了復制，數據也是使用 S3 管理的密鑰加密的，無法滿足使用相同 KMS 密鑰的要求。
B. 不正確。創建客戶管理的多區域 KMS 密鑰。在每個區域中創建一個 S3 存儲桶。配置 S3 存儲桶之間的復制。將應用程序配置為使用帶有客戶端加密的 KMS 密鑰。題目未要求客戶端加密，客戶端加密需要應用程序自行管理加密 / 解密邏輯，增加開發復雜度。
C. 不正確。在每個區域中創建客戶管理的 KMS 密鑰和 S3 存儲桶。將 S3 存儲桶配置為使用具有 Amazon S3 托管加密密鑰（SSE-S3）的服務器端加密。配置 S3 存儲桶之間的復制。SSE-S3 使用的是 S3 管理的密鑰，而不是客戶管理的 KMS 密鑰。此外，客戶管理的 KMS 密鑰默認是單區域密鑰（僅在創建區域可用），無法直接在另一個區域使用。若需跨區域使用，需手動在每個區域創建密鑰副本（或使用密鑰輪換策略），增加運維復雜度。此外，跨區域復制時，若源存儲桶和目標存儲桶的 KMS 密鑰不同，可能導致復制失敗或數據無法解密。
D. 正確。在每個區域中創建客戶管理的 KMS 密鑰和 S3 存儲桶。將 S3 存儲桶配置為使用 AWS KMS 密鑰（SSE-KMS）進行服務器端加密。配置 S3 存儲桶之間的復制。SSE-KMS 使用客戶管理的 KMS 密鑰加密，支持密鑰輪換、審計和細粒度訪問控制。客戶在一個區域創建多區域密鑰后，AWS 會自動在目標區域生成等效的密鑰副本（共享密鑰材料，但獨立管理）。應用程序在任一區域均可使用相同的密鑰 ARN 訪問密鑰。兩個區域的 S3 存儲桶均配置為使用 SSE-KMS，并指定多區域 KMS 密鑰的 ARN。跨區域復制時，S3 會自動處理密鑰上下文（因密鑰在兩個區域均可用）。

  官方參考文檔