Une entreprise stocke un modèle AWS CloudFormation dans un compartiment Amazon S3 qui bloque l'accès public. L'entreprise souhaite accorder à CloudFormation l'accès au modèle en fonction de requêtes utilisateur spécifiques pour créer un environnement de test, en suivant les meilleures pratiques de sécurité. Quelle solution répond à ces exigences ?
Choisissez une réponse
Appuyez sur une option pour vérifier votre réponse.
Bonne réponse : Créer une URL présignée pour l'objet du modèle. Configurer la pile CloudFormation pour utiliser l'URL présignée..
Pourquoi c'est la réponse
La création d'une URL présignée pour l'objet du modèle S3 est la solution la plus sécurisée et conforme aux meilleures pratiques. Une URL présignée accorde un accès temporaire et limité à un objet S3 spécifique sans rendre le compartiment ou l'objet public. Cela permet à CloudFormation d'accéder au modèle pour une durée définie, puis l'URL expire, empêchant tout accès non autorisé ultérieur. Les autres options sont incorrectes car : Un VPC endpoint de type passerelle pour S3 permet aux ressources au sein d'un VPC d'accéder à S3 sans passer par Internet, mais ne résout pas le problème d'accès de CloudFormation à un objet S3 privé depuis l'extérieur du VPC ou pour des requêtes spécifiques. Une API REST Amazon API Gateway est une solution trop complexe et coûteuse pour ce cas d'utilisation simple. Elle introduit une couche d'abstraction inutile et n'est pas la méthode standard pour accorder un accès temporaire à un objet S3. Autoriser l'accès public au modèle, même temporairement, viole les meilleures pratiques de sécurité et expose le modèle à des risques potentiels.
Réussissez votre examen — sans la chasse aux réponses interminable
Obtenez toutes les questions et explications vérifiées pour cet examen en un seul endroit, et économisez des heures de préparation. Plus de 1 000 certifications · Plus de 20 langues · Gratuit pour commencer.
Réussissez votre examen plus rapidement → Pas de carte requise