Pernyataan mana yang benar mengenai enkripsi data di AWS? (Pilih DUA jawaban.)

1 / 1
Pilih semua yang berlaku
BenarA, D

Penjelasan

Ringkasan pertanyaan

Pertanyaan tentang memilih DUA pernyataan yang benar tentang enkripsi AWS.

Syarat yang harus dipenuhi
  • 1enkripsi data di AWSPertanyaan menguji kemampuan membedakan tiga peran dengan benar: KMS untuk manajemen kunci, enkripsi saat diam untuk melindungi data tersimpan, dan enkripsi saat transit untuk melindungi data yang bergerak.
Penjelasan per pilihan
ABenar

AWS KMS memungkinkan Anda membuat, mengelola, dan mengontrol kunci enkripsi serta aksesnya secara terpusat.

Benar. AWS KMS (Key Management Service) adalah layanan terkelola yang secara terpusat menangani pembuatan, penyimpanan, dan rotasi (penggantian kunci berkala) kunci enkripsi yang digunakan untuk enkripsi data. Layanan ini memungkinkan kontrol akses atas siapa yang dapat menggunakan kunci apa melalui IAM dan kebijakan kunci, serta mengaudit kapan dan oleh siapa kunci digunakan melalui CloudTrail. Banyak layanan AWS—termasuk S3 dan EBS—menggunakan kunci KMS untuk enkripsi.

BSalah

Mengaktifkan enkripsi data saat diam (at rest) untuk S3 secara otomatis juga mengenkripsi data saat transit.

Enkripsi saat diam (seperti SSE) hanya melindungi data yang tersimpan di disk.

Melindungi saluran komunikasi adalah perhatian terpisah yang ditangani oleh enkripsi saat transit menggunakan TLS (HTTPS). Mengaktifkan enkripsi saat diam tidak secara otomatis mencakup data saat transit, sehingga tidak tepat.

CSalah

Karena AWS mengelola kunci KMS, pelanggan tidak dapat mengontrol aksesnya.

Dengan AWS KMS, pelanggan sendiri mengontrol siapa yang dapat menggunakan kunci apa melalui kebijakan kunci dan kebijakan IAM.

Pernyataan bahwa 'AWS mengelolanya sehingga pelanggan tidak dapat mengontrolnya' bertentangan dengan fungsi inti KMS (pembuatan, pengelolaan, dan kontrol akses kunci secara terpusat), sehingga tidak tepat.

DBenar

Enkripsi saat transit menggunakan TLS dan protokol serupa untuk melindungi data pada saluran komunikasi.

Benar. Enkripsi saat transit mengenkripsi data pada saluran komunikasi menggunakan TLS/SSL untuk melindungi dari penyadapan dan pemalsuan. HTTPS adalah contoh utamanya.

ESalah

Mengaktifkan enkripsi saat diam memerlukan perubahan kode di sisi aplikasi.

Dengan enkripsi sisi server (SSE) pada layanan seperti S3 dan EBS, AWS mengenkripsi secara otomatis data saat ditulis dan mendekripsi secara otomatis saat dibaca. Enkripsi transparan bagi aplikasi—aplikasi dapat membaca dan menulis seperti biasa.

Karena dapat diaktifkan hanya melalui konfigurasi, klaim bahwa perubahan aplikasi diperlukan tidak tepat.

Poin penting

Poin kunci enkripsi: KMS = manajemen kunci terpusat dan kontrol akses (kebijakan kunci); in transit = TLS melindungi komunikasi; at rest ≠ in transit (target berbeda, diaktifkan terpisah); enkripsi sisi server transparan dan tidak memerlukan perubahan aplikasi.

Tautan Terkait