Ein Einzelhandelsunternehmen hat mehrere Geschäftsteams, die jeweils ihr eigenes AWS-Konto unter AWS Organizations verwalten. Jedes Team speichert den Produktbestand in einer DynamoDB-Tabelle in seinem Konto. Eine zentrale Bestandsberichterstattungsanwendung läuft in einem gemeinsam genutzten Konto und muss Elemente aus den DynamoDB-Tabellen aller Teams lesen. Welche Authentifizierungsoption erfüllt diese Anforderungen am SICHERSTEN?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: In jedem Geschäftskonto eine IAM-Rolle namens BU_ROLE mit einer Richtlinie erstellen, die Zugriff auf die DynamoDB-Tabelle gewährt, und einer Vertrauensrichtlinie, die einer bestimmten Rolle im Konto der Bestandsanwendung vertraut. Im Bestandskonto eine Rolle namens APP_ROLE erstellen, die die STS AssumeRole API aufrufen kann. Die Anwendung so konfigurieren, dass sie APP_ROLE verwendet und die Cross-Account-Rolle BU_ROLE annimmt, um die DynamoDB-Tabelle zu lesen..
Warum dies die Antwort ist
Die Erstellung von IAM-Rollen für den kontoübergreifenden Zugriff ist die sicherste Methode. Jedes Geschäftskonto definiert eine Rolle (BUROLE), der die Rolle der Bestandsanwendung (APPROLE) vertrauen kann. Die Bestandsanwendung nimmt dann die BUROLE an, um temporäre Anmeldeinformationen zu erhalten, die nur für die Dauer der Sitzung gültig sind. Dies vermeidet die Notwendigkeit, langfristige Anmeldeinformationen wie Zugriffsschlüssel zu speichern oder zu rotieren, was ein Sicherheitsrisiko darstellen würde. Die Integration mit Secrets Manager ist weniger sicher, da Secrets Manager für die Speicherung von Anmeldeinformationen gedacht ist, die von der Anwendung direkt verwendet werden, anstatt temporäre Anmeldeinformationen über Rollenübernahme zu nutzen. Die Verwendung von IAM-Benutzern mit programmatischem Zugriff und manueller Rotation ist unsicher, da langfristige Zugriffsschlüssel ein hohes Risiko darstellen und die manuelle Rotation fehleranfällig ist. ACM ist für die Verwaltung von SSL/TLS-Zertifikaten gedacht und nicht für die Authentifizierung bei DynamoDB.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich