Uma empresa tem um fluxo de trabalho de aplicação no qual uma função AWS Lambda baixa e descriptografa arquivos do Amazon S3. Os arquivos são criptografados com chaves do AWS Key Management Service (AWS KMS). Um arquiteto de soluções precisa garantir que as permissões corretas sejam definidas. Qual combinação de ações realiza isso? (Escolha duas.)
Escolha uma resposta
Toque em uma opção para verificar sua resposta.
Resposta correta: Conceder a permissão decrypt para a função IAM do Lambda na política da chave KMS., Criar uma nova função do IAM com a permissão kms:decrypt e anexar essa função à função Lambda como sua função de execução..
Por que esta é a resposta
Para que uma função Lambda possa descriptografar arquivos do S3 usando AWS KMS, ela precisa de duas permissões essenciais. Primeiro, a função Lambda deve ter uma permissão kms:Decrypt em sua política de execução (IAM Role). Isso é feito criando uma nova política IAM com essa permissão e anexando-a à função Lambda como sua função de execução. Segundo, a política de chave do KMS (Key Policy) deve permitir que a função IAM da Lambda execute a ação kms:Decrypt. Ambas as configurações são necessárias para estabelecer a cadeia de confiança e autorização. A opção "Anexar a permissão kms:decrypt à política de recurso da função Lambda" está incorreta porque as políticas de recurso são usadas para conceder acesso a outros serviços ou contas, não para definir as permissões que a própria função Lambda pode assumir. A opção "Conceder a permissão decrypt para a política de recurso do Lambda na política da chave KMS" está incorreta porque a política de chave KMS deve conceder permissão à função IAM da Lambda, não à política de recurso da Lambda.
Passe no seu exame — sem a busca interminável por respostas
Obtenha todas as perguntas e explicações verificadas para este exame em um só lugar e economize horas de preparação. Mais de 1.000 certificações · Mais de 20 idiomas · Grátis para começar.
Passe no seu exame mais rápido → Não é necessário cartão