Uma empresa está desenvolvendo um aplicativo de compartilhamento de arquivos que armazena arquivos em um bucket do Amazon S3 e os serve por meio de uma distribuição do Amazon CloudFront. A empresa não quer que os usuários acessem os arquivos diretamente pela URL do S3. O que um arquiteto de soluções deve fazer para satisfazer esses requisitos?
Escolha uma resposta
Toque em uma opção para verificar sua resposta.
Resposta correta: Criar uma origin access identity (OAI), atribuir a OAI à distribuição do CloudFront e configurar as permissões do bucket do S3 para que apenas a OAI tenha permissão de leitura..
Por que esta é a resposta
A solução correta é criar uma Origin Access Identity (OAI) e associá-la à distribuição do CloudFront. Em seguida, configure as permissões do bucket S3 para permitir acesso de leitura somente à OAI. Isso garante que os usuários só possam acessar o conteúdo do S3 por meio do CloudFront, bloqueando o acesso direto via URL do S3. As outras opções são incorretas: Escrever políticas individuais para cada bucket do S3 para conceder permissão de leitura apenas ao CloudFront não é a forma mais segura, pois o CloudFront não tem uma identidade fixa para ser usada como Principal diretamente na política de bucket de forma segura. Criar um usuário do IAM e atribuí-lo ao CloudFront não é a abordagem padrão nem a mais segura para essa integração. O CloudFront não assume um usuário IAM para acessar buckets S3. Escrever uma política de bucket do S3 que defina o ID da distribuição do CloudFront como o Principal não é possível, pois o ID da distribuição não é uma entidade IAM válida para ser usada como Principal diretamente em uma política de bucket.
Passe no seu exame — sem a busca interminável por respostas
Obtenha todas as perguntas e explicações verificadas para este exame em um só lugar e economize horas de preparação. Mais de 1.000 certificações · Mais de 20 idiomas · Grátis para começar.
Passe no seu exame mais rápido → Não é necessário cartão