Un'azienda utilizza un cluster Amazon EKS e deve garantire che gli account di servizio Kubernetes abbiano un accesso sicuro e granulare a specifiche risorse AWS utilizzando i ruoli IAM per gli account di servizio (IRSA). Quale combinazione di soluzioni soddisferà questi requisiti? (Scegliere due.)
Scegli una risposta
Tocca un'opzione per controllare la tua risposta.
Risposta corretta: Definire un ruolo IAM che includa le autorizzazioni necessarie. Annotare gli account di servizio Kubernetes con l'Amazon Resource Name (ARN) del ruolo IAM., Configurare una relazione di trust tra i ruoli IAM per gli account di servizio e un provider di identità OpenID Connect (OIDC)..
Perché questa è la risposta
Le soluzioni corrette sono la definizione di un ruolo IAM con le autorizzazioni necessarie e l'annotazione degli account di servizio Kubernetes con l'ARN di tale ruolo, insieme alla configurazione di una relazione di trust tra i ruoli IAM e un provider di identità OpenID Connect (OIDC). Questo approccio, noto come IRSA (IAM Roles for Service Accounts), consente agli account di servizio Kubernetes di assumere ruoli IAM specifici, fornendo un accesso granulare alle risorse AWS. Il provider OIDC è fondamentale per autenticare le richieste provenienti dal cluster EKS, permettendo ad AWS di fidarsi delle identità fornite da Kubernetes. L'opzione di allegare una policy direttamente al ruolo IAM dei nodi EKS non è granulare, poiché tutti i pod sui nodi erediterebbero le stesse autorizzazioni. Le policy di rete all'interno del cluster non gestiscono l'accesso alle risorse AWS esterne. Modificare il ruolo IAM del cluster per ogni account di servizio non è la pratica raccomandata per IRSA e non offre la granularità desiderata a livello di account di servizio.
Supera il tuo esame — senza l'infinita caccia alle risposte
Ottieni ogni domanda e spiegazione verificata per questo esame in un unico posto, e risparmia ore di preparazione. Oltre 1.000 certificazioni · Oltre 20 lingue · Inizia gratuitamente.
Supera il tuo esame più velocemente → Nessuna carta richiesta