Une entreprise utilise un cluster Amazon EKS et doit s'assurer que les comptes de service Kubernetes disposent d'un accès sécurisé et granulaire à des ressources AWS spécifiques à l'aide de rôles IAM pour les comptes de service (IRSA). Quelle combinaison de solutions répondra à ces exigences ? (Choisissez deux.)
Choisissez une réponse
Appuyez sur une option pour vérifier votre réponse.
Bonne réponse : Définissez un rôle IAM qui inclut les autorisations nécessaires. Annotez les comptes de service Kubernetes avec l'Amazon Resource Name (ARN) du rôle IAM., Établissez une relation d'approbation entre les rôles IAM pour les comptes de service et un fournisseur d'identité OpenID Connect (OIDC)..
Pourquoi c'est la réponse
Pour implémenter IRSA, vous devez d'abord établir une relation de confiance entre les rôles IAM et un fournisseur d'identité OpenID Connect (OIDC). EKS héberge un fournisseur OIDC unique pour chaque cluster, permettant aux comptes de service Kubernetes d'assumer des rôles IAM. Ensuite, vous définissez un rôle IAM avec les autorisations granulaires requises et annotez le compte de service Kubernetes avec l'ARN de ce rôle IAM. Cette annotation lie le compte de service au rôle IAM, permettant aux pods utilisant ce compte de service d'assumer le rôle et d'accéder aux ressources AWS spécifiées. Attacher la politique directement au rôle IAM des nœuds EKS donnerait à tous les pods du nœud les mêmes autorisations, violant le principe du moindre privilège. Les politiques réseau ne gèrent pas l'accès aux services AWS externes. Modifier le rôle IAM du cluster EKS pour chaque compte de service n'est pas la méthode standard ni la plus granulaire pour IRSA.
Réussissez votre examen — sans la chasse aux réponses interminable
Obtenez toutes les questions et explications vérifiées pour cet examen en un seul endroit, et économisez des heures de préparation. Plus de 1 000 certifications · Plus de 20 langues · Gratuit pour commencer.
Réussissez votre examen plus rapidement → Pas de carte requise