Een bedrijf heeft een applicatieworkflow waarin een AWS Lambda-functie bestanden downloadt en ontsleutelt vanuit Amazon S3. De bestanden zijn versleuteld met AWS Key Management Service (AWS KMS)-sleutels. Een solutions architect moet ervoor zorgen dat de juiste permissies zijn ingesteld. Welke combinatie van acties bereikt dit? (Kies twee.)
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Verleen de decrypt-permissie voor de Lambda IAM-rol in het beleid van de KMS-sleutel., Maak een nieuwe IAM-rol met de kms:decrypt-permissie en koppel die rol aan de Lambda-functie als de uitvoeringsrol..
Waarom dit het antwoord is
Om de Lambda-functie bestanden te laten ontsleutelen met KMS, zijn twee permissiesets nodig: een op de IAM-rol van de Lambda-functie en een op het sleutelbeleid van de KMS-sleutel. De Lambda-functie moet een IAM-rol hebben die de kms:Decrypt-actie toestaat. Dit kan door een nieuw IAM-beleid met deze permissie te maken en dit aan de uitvoeringsrol van de Lambda-functie te koppelen. Daarnaast moet het sleutelbeleid van de KMS-sleutel de IAM-rol van de Lambda-functie expliciet toestaan om de kms:Decrypt-actie uit te voeren. Zonder deze dubbele autorisatie (IAM-beleid en KMS-sleutelbeleid) zal de ontsleuteling mislukken. Het toevoegen van kms:decrypt aan het resourcebeleid van de Lambda-functie is onjuist, omdat Lambda-functies geen resourcebeleid hebben voor het beheren van KMS-toegang. Het verlenen van decrypt-permissie voor het Lambda-resourcebeleid in het beleid van de KMS-sleutel is ook onjuist, omdat een Lambda-functie geen resourcebeleid heeft dat direct door een KMS-sleutelbeleid kan worden geadresseerd; de IAM-rol van de functie is de juiste entiteit.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig