Une entreprise exécute une application sur un cluster Amazon Elastic Kubernetes Service (Amazon EKS) sur des instances Amazon EC2. L'application dispose d'une interface utilisateur (UI) qui utilise Amazon DynamoDB et de services de données qui utilisent Amazon S3. L'entreprise doit s'assurer que les Pods EKS de l'interface utilisateur ne peuvent accéder qu'à Amazon DynamoDB et que les Pods EKS des services de données ne peuvent accéder qu'à Amazon S3. L'entreprise utilise AWS Identity and Access Management (IAM). Quelle solution répond à ces exigences ?
Choisissez une réponse
Appuyez sur une option pour vérifier votre réponse.
Bonne réponse : Créez des comptes de service Kubernetes distincts pour l'interface utilisateur et les services de données afin d'assumer un rôle IAM. Attachez la politique AmazonS3FullAccess au compte des services de données et la politique AmazonDynamoDBFullAccess au compte de service de l'interface utilisateur..
Pourquoi c'est la réponse
La solution correcte est de créer des comptes de service Kubernetes distincts pour l'interface utilisateur et les services de données, chacun assumant un rôle IAM spécifique. Cette approche utilise IAM Roles for Service Accounts (IRSA), une fonctionnalité d'Amazon EKS qui permet d'associer des rôles IAM à des comptes de service Kubernetes. Chaque compte de service peut ensuite être configuré avec une politique IAM qui accorde uniquement les autorisations nécessaires (par exemple, AmazonDynamoDBFullAccess pour l'interface utilisateur et AmazonS3FullAccess pour les services de données). Cela garantit un contrôle d'accès granulaire et le principe du moindre privilège. Les options incorrectes ne respectent pas le principe du moindre privilège ou n'utilisent pas la bonne méthode d'intégration IAM avec EKS : Attacher les deux politiques IAM au profil d'instance EC2 donnerait aux deux types de Pods un accès complet à S3 et DynamoDB, ce qui est contraire aux exigences. Attacher directement des politiques IAM aux Pods EKS n'est pas une fonctionnalité standard d'EKS. La dernière option inverse les autorisations, donnant à l'interface utilisateur l'accès à S3 et aux services de données l'accès à DynamoDB, ce qui est incorrect.
Réussissez votre examen — sans la chasse aux réponses interminable
Obtenez toutes les questions et explications vérifiées pour cet examen en un seul endroit, et économisez des heures de préparation. Plus de 1 000 certifications · Plus de 20 langues · Gratuit pour commencer.
Réussissez votre examen plus rapidement → Pas de carte requise