Ein Unternehmen betreibt einen Infrastrukturüberwachungsdienst. Das Unternehmen entwickelt eine neue Funktion, die es dem Dienst ermöglicht, Daten in den AWS-Konten der Kunden zu überwachen. Die neue Funktion ruft AWS-APIs in Kundenkonten auf, um Amazon EC2-Instances zu beschreiben und Amazon CloudWatch-Metriken zu lesen. Was sollte das Unternehmen tun, um den Zugriff auf Kundenkonten auf die SICHERSTE Weise zu erhalten?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Sicherstellen, dass die Kunden in ihrem Konto eine IAM-Rolle mit schreibgeschützten EC2- und CloudWatch-Berechtigungen und einer Vertrauensrichtlinie für das Konto des Unternehmens erstellen..
Warum dies die Antwort ist
Die sicherste Methode ist die Verwendung einer IAM-Rolle mit einer Vertrauensrichtlinie. Kunden erstellen in ihren Konten eine IAM-Rolle, die nur die erforderlichen schreibgeschützten Berechtigungen für EC2 und CloudWatch besitzt. Die Vertrauensrichtlinie dieser Rolle erlaubt es dem AWS-Konto des Unternehmens, diese Rolle anzunehmen. Dies gewährt temporären Zugriff, ohne dass dauerhafte Anmeldeinformationen (wie Zugriffsschlüssel) geteilt oder gespeichert werden müssen, was das Risiko von Offenlegungen minimiert. Die Option mit einer serverlosen API und Token-Ausgabemaschine ist komplexer und erfordert die Verwaltung von temporären Anmeldeinformationen, was zusätzliche Angriffsflächen schaffen kann. Das Erstellen eines IAM-Benutzers und das Speichern von Zugriffsschlüsseln ist unsicher, da die Schlüssel bei Kompromittierung dauerhaften Zugriff ermöglichen. Amazon Cognito ist für Benutzerauthentifizierung gedacht und nicht die primäre Methode für den programmatischen Zugriff zwischen AWS-Konten.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich