Ein Unternehmen betreibt interne Systeme auf Amazon EC2. Während einer Bereitstellung versucht ein Administrator, eine EC2-Instance mithilfe der AWS CLI zu beenden, erhält aber einen 403-Fehler (Access Denied). Der Administrator verwendet eine IAM-Rolle, der die folgende IAM-Richtlinie zugeordnet ist: Was ist die Ursache für die fehlgeschlagene Anforderung?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Die Anforderung stammt nicht aus den CIDR-Blöcken 192.0.2.0/24 oder 203.0.113.0/24..
Warum dies die Antwort ist
Die korrekte Antwort ist, dass die Anforderung nicht aus den angegebenen CIDR-Blöcken stammt. Die IAM-Richtlinie enthält eine Bedingung ("Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24", "203.0.113.0/24"] } }), die vorschreibt, dass alle API-Aufrufe zum Beenden von EC2-Instanzen nur von IP-Adressen innerhalb dieser Bereiche stammen dürfen. Wenn der Administrator den Befehl von einer anderen IP-Adresse ausführt, wird der Zugriff verweigert. Eine ressourcenbasierte Richtlinie auf der EC2-Instanz ist für diesen Fehler unwahrscheinlich, da IAM-Rollen normalerweise identitätsbasierte Richtlinien verwenden. Das Fehlen eines Prinzipals ist kein Problem, da die IAM-Rolle selbst der Prinzipal ist. Das Feld "Action" ("ec2:TerminateInstances") gewährt explizit die erforderliche Berechtigung zum Beenden von EC2-Instanzen.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich