Ein Unternehmen verfügt über einen Anwendungs-Workflow, bei dem eine AWS Lambda-Funktion Dateien von Amazon S3 herunterlädt und entschlüsselt. Die Dateien werden mit AWS Key Management Service (AWS KMS)-Schlüsseln verschlüsselt. Ein Solutions Architect muss sicherstellen, dass die richtigen Berechtigungen festgelegt sind. Welche Kombination von Aktionen erreicht dies? (Wählen Sie zwei.)
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Erteilen Sie die Entschlüsselungsberechtigung für die Lambda-IAM-Rolle in der Richtlinie des KMS-Schlüssels., Erstellen Sie eine neue IAM-Rolle mit der Berechtigung kms:decrypt und weisen Sie diese Rolle der Lambda-Funktion als Ausführungsrolle zu..
Warum dies die Antwort ist
Um einer Lambda-Funktion die Entschlüsselung mit KMS zu ermöglichen, sind zwei Schritte erforderlich. Erstens muss die Lambda-Funktion eine IAM-Rolle besitzen, die die Berechtigung kms:Decrypt enthält. Dies kann durch das Erstellen einer neuen IAM-Rolle mit dieser Berechtigung und deren Zuweisung zur Lambda-Funktion als Ausführungsrolle erreicht werden. Zweitens muss der KMS-Schlüssel selbst eine Schlüsselrichtlinie haben, die der IAM-Rolle der Lambda-Funktion erlaubt, die kms:Decrypt-Aktion auszuführen. Die Option, kms:decrypt zur Ressourcenrichtlinie der Lambda-Funktion hinzuzufügen, ist falsch, da Lambda-Funktionen keine Ressourcenrichtlinien für Berechtigungen zu anderen AWS-Diensten verwenden. Die Option, die Entschlüsselungsberechtigung für die Lambda-Ressourcenrichtlinie in der Richtlinie des KMS-Schlüssels zu erteilen, ist ebenfalls falsch, da KMS-Schlüssel keine Berechtigungen an Lambda-Ressourcenrichtlinien delegieren.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich