Une entreprise de vente au détail possède plusieurs équipes commerciales, chacune gérant son propre compte AWS sous AWS Organizations. Chaque équipe stocke l'inventaire des produits dans une table DynamoDB de son compte. Une application centrale de reporting d'inventaire s'exécute dans un compte partagé et doit lire les éléments de toutes les tables DynamoDB des équipes. Quelle option d'authentification répond le plus SÉCURISÉMENT à ces exigences ?
Choisissez une réponse
Appuyez sur une option pour vérifier votre réponse.
Bonne réponse : Dans chaque compte commercial, créer un rôle IAM nommé BU_ROLE avec une politique accordant l'accès à la table DynamoDB et une politique de confiance qui fait confiance à un rôle spécifique dans le compte de l'application d'inventaire. Dans le compte d'inventaire, créer un rôle nommé APP_ROLE qui peut appeler l'API STS AssumeRole. Configurer l'application pour qu'elle utilise APP_ROLE et assume le rôle inter-comptes BU_ROLE pour lire la table DynamoDB..
Pourquoi c'est la réponse
L'option correcte est la plus sécurisée car elle utilise l'accès inter-comptes via des rôles IAM, ce qui élimine le besoin de partager des informations d'identification statiques. Le rôle APPROLE dans le compte central assume le rôle BUROLE dans chaque compte commercial, obtenant ainsi des informations d'identification temporaires pour accéder à DynamoDB. Cela suit le principe du moindre privilège et réduit considérablement le risque de fuite de clés d'accès. Les options incorrectes présentent des vulnérabilités: L'intégration de Secrets Manager est une amélioration par rapport aux clés codées en dur, mais elle implique toujours la gestion et la rotation de secrets statiques, ce qui est moins sécurisé que l'utilisation de rôles temporaires. La création d'utilisateurs IAM avec des clés d'accès programmatiques est la moins sécurisée. Les clés statiques sont un risque majeur et leur rotation manuelle est sujette à des erreurs et des oublis. L'intégration avec AWS Certificate Manager (ACM) n'est pas pertinente pour l'authentification des applications auprès de DynamoDB. ACM gère les certificats SSL/TLS pour les services web, pas l'authentification des applications backend.
Réussissez votre examen — sans la chasse aux réponses interminable
Obtenez toutes les questions et explications vérifiées pour cet examen en un seul endroit, et économisez des heures de préparation. Plus de 1 000 certifications · Plus de 20 langues · Gratuit pour commencer.
Réussissez votre examen plus rapidement → Pas de carte requise