Una empresa minorista tiene varios equipos de negocio, cada uno administrando su propia cuenta de AWS bajo AWS Organizations. Cada equipo almacena el inventario de productos en una tabla de DynamoDB en su cuenta. Una aplicación central de informes de inventario se ejecuta en una cuenta compartida y debe leer elementos de las tablas de DynamoDB de todos los equipos. ¿Qué opción de autenticación cumple estos requisitos de la manera MÁS segura?
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: En cada cuenta de negocio, crear un rol de IAM llamado BU_ROLE con una política que otorgue acceso a la tabla de DynamoDB y una política de confianza que confíe en un rol específico en la cuenta de la aplicación de inventario. En la cuenta de inventario, crear un rol llamado APP_ROLE que pueda llamar a la API STS AssumeRole. Configurar la aplicación para que use APP_ROLE y asuma el BU_ROLE de cuenta cruzada para leer la tabla de DynamoDB..
Por qué esta es la respuesta
La opción correcta es la más segura porque utiliza roles de IAM para acceso entre cuentas, eliminando la necesidad de credenciales de larga duración. La aplicación asume un rol (APPROLE) en su propia cuenta, que luego asume un rol (BUROLE) en cada cuenta de negocio. Esto proporciona acceso temporal y limitado, siguiendo el principio de privilegio mínimo. Las otras opciones son menos seguras: Integrar DynamoDB con AWS Secrets Manager: Aunque Secrets Manager es útil para gestionar secretos, la aplicación aún necesitaría credenciales de larga duración (por ejemplo, claves de acceso de IAM) para acceder a Secrets Manager y luego a DynamoDB, lo que introduce un punto de vulnerabilidad. Crear un usuario de IAM con acceso programático: El uso de claves de acceso y claves secretas de IAM directamente en la aplicación es una práctica insegura, ya que estas credenciales son de larga duración y presentan un riesgo si se exponen. La rotación manual es propensa a errores. Integrar DynamoDB con AWS Certificate Manager (ACM): ACM gestiona certificados SSL/TLS para cifrado de datos en tránsito, no para autenticación de aplicaciones a DynamoDB.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta