Un'azienda gestisce un servizio di monitoraggio dell'infrastruttura. L'azienda sta sviluppando una nuova funzionalità che consentirà al servizio di monitorare i dati negli account AWS dei clienti. La nuova funzionalità chiamerà le API AWS negli account dei clienti per descrivere le istanze Amazon EC2 e leggere le metriche Amazon CloudWatch. Cosa dovrebbe fare l'azienda per ottenere l'accesso agli account dei clienti nel modo PIÙ sicuro?
Scegli una risposta
Tocca un'opzione per controllare la tua risposta.
Risposta corretta: Assicurarsi che i clienti creino un ruolo IAM nel loro account con permessi di sola lettura per EC2 e CloudWatch e una policy di attendibilità per l'account dell'azienda..
Perché questa è la risposta
La creazione di un ruolo IAM negli account dei clienti con permessi di sola lettura per EC2 e CloudWatch, e una policy di attendibilità che consenta all'account dell'azienda di assumerlo, è il metodo più sicuro. Questo approccio sfrutta la federazione di ruoli IAM, eliminando la necessità di condividere credenziali a lungo termine e fornendo un controllo granulare sui permessi. L'azienda assume il ruolo nel contesto del proprio account, garantendo che le credenziali non lascino mai l'ambiente AWS del cliente. Creare un'API serverless per una token vending machine è un approccio valido per scenari di accesso utente finale, ma più complesso e non strettamente necessario per l'accesso da servizio a servizio tra account. Creare un utente IAM con chiavi di accesso e archiviarle è meno sicuro perché le credenziali a lungo termine sono più vulnerabili a compromissioni. Creare un utente Amazon Cognito è inappropriato per l'accesso da servizio a servizio; Cognito è progettato per l'autenticazione e l'autorizzazione degli utenti finali.
Supera il tuo esame — senza l'infinita caccia alle risposte
Ottieni ogni domanda e spiegazione verificata per questo esame in un unico posto, e risparmia ore di preparazione. Oltre 1.000 certificazioni · Oltre 20 lingue · Inizia gratuitamente.
Supera il tuo esame più velocemente → Nessuna carta richiesta