Een bedrijf bouwt een applicatie voor het delen van bestanden die bestanden opslaat in een Amazon S3-bucket en deze aanbiedt via een Amazon CloudFront-distributie. Het bedrijf wil niet dat gebruikers rechtstreeks toegang krijgen tot bestanden via de S3-URL. Wat moet een solutions architect doen om aan deze vereisten te voldoen?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Maak een origin access identity (OAI) aan, wijs de OAI toe aan de CloudFront-distributie en configureer de S3-bucketmachtigingen zodat alleen de OAI leestoegang heeft..
Waarom dit het antwoord is
De juiste aanpak is het aanmaken van een Origin Access Identity (OAI). Een OAI is een speciale CloudFront-gebruiker die CloudFront autoriseert om toegang te krijgen tot objecten in een S3-bucket. Door de S3-bucket policy zo te configureren dat alleen de OAI leestoegang heeft, wordt directe toegang tot de S3-URL geblokkeerd, terwijl CloudFront de bestanden wel kan uitleveren. Dit voldoet aan de beveiligingsvereiste om directe toegang tot S3 te voorkomen. Het schrijven van individuele policies voor elke S3-bucket is inefficiënt en biedt geen directe beveiliging tegen directe S3-toegang. Een IAM-gebruiker toewijzen aan CloudFront is niet de standaardmethode voor deze integratie en kan leiden tot complexe machtigingsbeheer. Een S3-bucket policy met de CloudFront-distributie-ID als Principal is niet de correcte syntaxis of methode om CloudFront toegang te verlenen; een OAI is hiervoor ontworpen.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig