Een bedrijf host zijn applicatie op Amazon EC2-instances binnen een VPC en maakt voor elke klant een dedicated Amazon S3-bucket aan. De applicatie moet veilig toegang kunnen krijgen tot alleen de S3-buckets die toebehoren aan het AWS-account van het bedrijf. Welke oplossing biedt dit met de MINSTE operationele overhead?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Maak een gateway endpoint voor Amazon S3 dat is gekoppeld aan de VPC. Werk het IAM instance profile policy bij met een Deny-actie en de volgende condition key:.
Waarom dit het antwoord is
De correcte optie is de meest efficiënte en veilige oplossing. Een gateway endpoint voor S3 zorgt ervoor dat verkeer naar S3 binnen het AWS-netwerk blijft, wat de prestaties verbetert en kosten verlaagt doordat er geen NAT Gateway of internetgateway nodig is. Het bijwerken van het IAM instance profile policy met een Deny actie en een Condition die toegang tot buckets buiten het eigen account weigert, biedt een robuust beveiligingsmechanisme. Dit voorkomt dat de EC2-instances toegang krijgen tot S3-buckets die niet tot het bedrijf behoren, zelfs als er in de toekomst per ongeluk ruimere permissies worden toegekend. De andere opties zijn minder optimaal: Een NAT Gateway (optie 2 en 4) introduceert extra kosten en operationele overhead, omdat verkeer via het internet moet lopen en een publiek IP-adres vereist is. Dit is niet nodig voor toegang tot S3 binnen AWS. Optie 1 is bijna correct, maar het gebruik van een Deny actie met een Condition (zoals in de correcte optie) is een best practice voor security, omdat het expliciet ongewenste toegang blokkeert en minder foutgevoelig is dan alleen het specificeren van toegestane buckets.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig