Une entreprise développe une application de partage de fichiers qui stocke les fichiers dans un compartiment Amazon S3 et les diffuse via une distribution Amazon CloudFront. L'entreprise ne souhaite pas que les utilisateurs accèdent directement aux fichiers via l'URL S3. Que doit faire un architecte de solutions pour satisfaire ces exigences ?
Choisissez une réponse
Appuyez sur une option pour vérifier votre réponse.
Bonne réponse : Créer une identité d'accès à l'origine (OAI), attribuer l'OAI à la distribution CloudFront et configurer les autorisations du compartiment S3 de manière à ce que seule l'OAI dispose d'une autorisation de lecture..
Pourquoi c'est la réponse
La création d'une identité d'accès à l'origine (OAI) est la méthode recommandée pour restreindre l'accès direct à un compartiment S3 tout en permettant à CloudFront de servir le contenu. L'OAI agit comme un utilisateur virtuel qui est autorisé à accéder au compartiment S3, et cette OAI est ensuite associée à la distribution CloudFront. Une politique de compartiment S3 est configurée pour n'autoriser que l'OAI à lire les objets, empêchant ainsi l'accès direct via l'URL S3. Les autres options sont incorrectes car : Écrire des politiques individuelles pour chaque compartiment S3 afin d'accorder des autorisations de lecture uniquement à CloudFront n'est pas une pratique standard et ne fournit pas le même niveau de sécurité qu'une OAI. Créer un utilisateur IAM pour CloudFront n'est pas la méthode appropriée pour gérer les autorisations d'accès à S3 pour CloudFront. Écrire une politique de compartiment S3 qui définit l'ID de distribution CloudFront comme Principal n'est pas une syntaxe de politique valide pour restreindre l'accès de cette manière.
Réussissez votre examen — sans la chasse aux réponses interminable
Obtenez toutes les questions et explications vérifiées pour cet examen en un seul endroit, et économisez des heures de préparation. Plus de 1 000 certifications · Plus de 20 langues · Gratuit pour commencer.
Réussissez votre examen plus rapidement → Pas de carte requise