Un'azienda di vendita al dettaglio ha più team aziendali, ognuno dei quali gestisce il proprio account AWS nell'ambito di AWS Organizations. Ogni team memorizza l'inventario dei prodotti in una tabella DynamoDB nel proprio account. Un'applicazione centrale di reporting dell'inventario viene eseguita in un account condiviso e deve leggere gli elementi dalle tabelle DynamoDB di tutti i team. Quale opzione di autenticazione soddisfa questi requisiti nel modo PIÙ sicuro?
Scegli una risposta
Tocca un'opzione per controllare la tua risposta.
Risposta corretta: In ogni account aziendale, creare un ruolo IAM denominato BU_ROLE con una policy che concede l'accesso alla tabella DynamoDB e una trust policy che si fida di un ruolo specifico nell'account dell'applicazione di inventario. Nell'account di inventario, creare un ruolo denominato APP_ROLE che può chiamare l'API STS AssumeRole. Configurare l'applicazione per utilizzare APP_ROLE e assumere il BU_ROLE cross-account per leggere la tabella DynamoDB..
Perché questa è la risposta
L'opzione corretta è la più sicura perché sfrutta i ruoli IAM per l'accesso cross-account, eliminando la necessità di condividere credenziali a lungo termine. L'applicazione assume un ruolo (APPROLE) nel proprio account, che poi assume un ruolo (BUROLE) in ciascun account del team. Questo modello di delega basato sui ruoli è intrinsecamente più sicuro rispetto all'uso di chiavi di accesso o segreti, poiché le credenziali temporanee vengono generate tramite STS AssumeRole e non vengono mai archiviate o ruotate manualmente. Le altre opzioni sono meno sicure: L'integrazione con Secrets Manager richiede la gestione e la rotazione di segreti, che, sebbene migliori delle chiavi hardcoded, introducono un punto di gestione delle credenziali. L'uso di utenti IAM con chiavi di accesso programmatiche e la loro rotazione manuale è la meno sicura, poiché le chiavi a lungo termine sono un rischio di sicurezza significativo se compromesse e la rotazione manuale è soggetta a errori. ACM è per la gestione dei certificati SSL/TLS e non è un meccanismo di autenticazione diretto per DynamoDB o per l'accesso cross-account in questo contesto.
Supera il tuo esame — senza l'infinita caccia alle risposte
Ottieni ogni domanda e spiegazione verificata per questo esame in un unico posto, e risparmia ore di preparazione. Oltre 1.000 certificazioni · Oltre 20 lingue · Inizia gratuitamente.
Supera il tuo esame più velocemente → Nessuna carta richiesta