Una empresa está creando una aplicación para compartir archivos que almacena archivos en un bucket de Amazon S3 y los sirve a través de una distribución de Amazon CloudFront. La empresa no quiere que los usuarios accedan a los archivos directamente a través de la URL de S3. ¿Qué debe hacer un arquitecto de soluciones para satisfacer estos requisitos?
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: Crear una origin access identity (OAI), asignarla a la distribución de CloudFront y configurar los permisos del bucket de S3 para que solo la OAI tenga permiso de lectura..
Por qué esta es la respuesta
La creación de una Origin Access Identity (OAI) y su asignación a la distribución de CloudFront es la solución más segura y recomendada. Una OAI permite que CloudFront acceda a los objetos de S3 mientras restringe el acceso directo de los usuarios al bucket de S3. Esto se logra configurando los permisos del bucket de S3 para que solo la OAI tenga permiso de lectura. Las otras opciones son incorrectas porque: Escribir políticas individuales para cada bucket de S3 para otorgar permiso de lectura solo a CloudFront no es una práctica escalable y no impide el acceso directo si la política no está configurada correctamente. Crear un usuario de IAM y asignarlo a CloudFront no es el mecanismo diseñado por AWS para este propósito y puede ser menos seguro. Escribir una política de bucket de S3 que establezca el ID de la distribución de CloudFront como Principal no es una sintaxis de política de S3 válida para este caso de uso.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta