Un'azienda sta creando un'applicazione di condivisione file che archivia i file in un bucket Amazon S3 e li distribuisce tramite una distribuzione Amazon CloudFront. L'azienda non vuole che gli utenti accedano ai file direttamente tramite l'URL S3. Cosa dovrebbe fare un architetto di soluzioni per soddisfare questi requisiti?
Scegli una risposta
Tocca un'opzione per controllare la tua risposta.
Risposta corretta: Creare un'origin access identity (OAI), assegnare l'OAI alla distribuzione CloudFront e configurare le autorizzazioni del bucket S3 in modo che solo l'OAI abbia l'autorizzazione di lettura..
Perché questa è la risposta
La creazione di un'Origin Access Identity (OAI) e la sua assegnazione alla distribuzione CloudFront è la soluzione corretta. Un OAI è un'entità speciale di CloudFront che consente a CloudFront di accedere in modo sicuro ai contenuti di un bucket S3 privato. Configurando le autorizzazioni del bucket S3 in modo che solo l'OAI abbia l'autorizzazione di lettura, si impedisce l'accesso diretto ai file tramite l'URL S3, garantendo che tutti gli accessi avvengano tramite CloudFront. Le altre opzioni sono errate: Scrivere policy individuali per ogni bucket S3 è inefficiente e non impedisce l'accesso diretto se le policy non sono configurate correttamente con un OAI. Creare un utente IAM e assegnarlo a CloudFront non è il meccanismo standard o più sicuro per CloudFront per accedere a S3. CloudFront utilizza OAI per questo scopo. Scrivere una policy del bucket S3 che imposti l'ID della distribuzione CloudFront come Principal non è il modo corretto per configurare l'accesso sicuro. L'OAI agisce come Principal in questo scenario.
Supera il tuo esame — senza l'infinita caccia alle risposte
Ottieni ogni domanda e spiegazione verificata per questo esame in un unico posto, e risparmia ore di preparazione. Oltre 1.000 certificazioni · Oltre 20 lingue · Inizia gratuitamente.
Supera il tuo esame più velocemente → Nessuna carta richiesta