Ein Unternehmen hostet seine Anwendung auf Amazon EC2-Instances innerhalb einer VPC und erstellt für jeden Kunden einen dedizierten Amazon S3-Bucket. Die Anwendung muss sicher nur auf die S3-Buckets zugreifen können, die zum AWS-Konto des Unternehmens gehören. Welche Lösung bietet dies mit dem geringsten Betriebsaufwand?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Erstellen Sie einen Gateway-Endpunkt für Amazon S3, der an die VPC angehängt ist. Aktualisieren Sie die IAM-Instance-Profilrichtlinie mit einer Deny-Aktion und dem folgenden Bedingungsschlüssel:.
Warum dies die Antwort ist
Die korrekte Lösung ist die Erstellung eines Gateway-Endpunkts für Amazon S3 und die Aktualisierung der IAM-Instance-Profilrichtlinie mit einer Deny-Aktion. Ein Gateway-Endpunkt ermöglicht den privaten Zugriff von EC2-Instances auf S3, ohne dass der Datenverkehr über das Internet geleitet wird, was die Sicherheit erhöht und die Betriebskosten senkt. Die IAM-Richtlinie mit einer expliziten Deny-AAnweisung, die den Zugriff auf S3-Buckets außerhalb des eigenen AWS-Kontos verweigert, stellt sicher, dass die Anwendung nur auf die dedizierten Buckets zugreifen kann. Ein NAT Gateway ist nicht erforderlich, da der Gateway-Endpunkt den privaten Zugriff auf S3 ermöglicht. Das Erstellen eines NAT Gateways würde unnötige Kosten und Komplexität verursachen. Bucket-Richtlinien sind zwar eine Option, aber die Verwaltung vieler einzelner Bucket-Richtlinien wäre aufwendiger als eine zentrale IAM-Richtlinie für die EC2-Instances.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich