考題解析 | 在 AWS 中加密已經存在的 Aurora MySQL 數據庫集群
Dec 22nd, 2025 by Anna
題目
A company is designing a new application stack. The design includes web servers and backend servers that are hosted on Amazon EC2 instances. The design also includes an Amazon Aurora MySQL DB cluster. The EC2 instances are in an Auto Scaling group that uses launch templates. The EC2 instances for the web layer and the backend layer are backed by Amazon Elastic Block Store (Amazon EBS) volumes. No layers are encrypted at rest. A security engineer needs to implement encryption at rest.
Which combination of steps will meet these requirements? (Choose two.)
A. Modify EBS default encryption settings in the target AWS Region to enable encryption. Use an Auto Scaling group instance refresh.
B. Modify the launch templates for the web layer and the backend layer to add AWS Certificate Manager (ACM) encryption for the attached EBS volumes. Use an Auto Scaling group instance refresh.
C. Create a new AWS Key Management Service (AWS KMS) encrypted DB cluster from a snapshot of the existing DB cluster.
D. Apply AWS Key Management Service (AWS KMS) encryption to the existing DB cluster.
E. Apply AWS Certificate Manager (ACM) encryption to the existing DB cluster.
需求概括
一家公司正在設計一個新的應用程序棧。該設計包括托管在 Amazon EC2 實例上的 Web 服務器和后端服務器。設計還包括一個 Amazon Aurora MySQL 數據庫集群。EC2 實例位于一個使用啟動模板的自動擴展組中����。Web 層和后端層的 EC2 實例由 Amazon 彈性塊存儲(Amazon EBS)卷提供支持。沒有任何層進行了靜態加密。安全工程師需要實施靜態加密。
哪些步驟組合將滿足這些要求?(選擇兩項���。)
公司設計新應用程序棧,包含 EC2 實例(Web 和后端服務器)和 Aurora MySQL 數據庫集群,EC2 實例在自動擴展組且使用啟動模板���,EBS 卷未靜態加密,安全工程師要實施靜態加密,需選出滿足要求的兩個步驟組合。
參考解析
技巧:排除明顯錯誤選項��,在沒有明顯錯誤的選項中選擇最合理的選項�����。
A. 正確。修改目標 AWS 區域中的 EBS 默認加密設置以啟用加密。使用自動擴展組實例刷新���。修改 EBS 默認加密設置可確保后續創建的 EBS 卷自動加密。使用自動擴展組實例刷新能替換現有實例,使新實例使用加密的 EBS 卷,滿足對 EC2 實例相關 EBS 卷靜態加密的要求。
B. 不正確。修改 Web 層和后端層的啟動模板�����,為附加的 EBS 卷添加 AWS Certificate Manager (ACM) 加密����。使用自動擴展組實例刷新。ACM 主要用于管理證書以加密網絡通信����,不能用于對 EBS 卷進行靜態加密����,所以該方案無法滿足靜態加密的要求����。
C. 正確。從現有數據庫集群的快照創建一個新的使用 AWS Key Management Service (AWS KMS) 加密的 DB 集群���。通過從現有快照創建新的使用 KMS 加密的 DB 集群,可實現對 Aurora MySQL 數據庫集群的靜態加密�,滿足對數據庫靜態加密的要求�。
D. 不正確����。對現有的 DB 集群應用 AWS Key Management Service (AWS KMS) 加密。使用 KMS 加密已經存在的數據庫����,需先創建快照�����,再基于快照創建加密數據庫。
E. 不正確��。對現有的 DB 集群應用 AWS Certificate Manager (ACM) 加密�����。ACM 不能用于對數據庫集群進行靜態加密����,主要用于網絡通信加密����,所以該方案無法滿足靜態加密的要求。
技術總結
Amazon EC2:提供可擴展的計算能力�,實例可托管各種應用���。自動擴展組能根據需求自動調整實例數量���,啟動模板用于定義實例配置���。
Amazon Elastic Block Store (Amazon EBS):為 EC2 實例提供持久塊存儲卷���,可對卷進行加密以保護數據安全�����。
Amazon Aurora MySQL:一種兼容 MySQL 的云原生關系數據庫,支持多種加密方式來保護數據���。
加密相關服務:
AWS Key Management Service (AWS KMS):用于創建和管理加密密鑰��,可對 EBS 卷��、Aurora 數據庫等資源進行加密。
AWS Certificate Manager (ACM):主要用于管理 SSL/TLS 證書�����,用于加密網絡通信�����,并非用于靜態數據加密��。
自動擴展組實例刷新:可自動替換自動擴展組中的實例,用于應用配置更改等操作。