Architekt rozwiązań musi bezpiecznie przechowywać nazwę użytkownika i hasło do bazy danych w AWS Systems Manager Parameter Store dla aplikacji działającej na instancji Amazon EC2. Co powinien zrobić architekt rozwiązań, aby utworzyć bezpieczny parametr i umożliwić instancji EC2 dostęp do niego?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Utwórz rolę IAM, która ma dostęp do odczytu parametru Parameter Store. Zezwól na dostęp Decrypt do klucza AWS Key Management Service (AWS KMS) używanego do szyfrowania parametru. Przypisz tę rolę IAM do instancji EC2..
Dlaczego to jest odpowiedź
Aby instancja EC2 mogła bezpiecznie uzyskać dostęp do zaszyfrowanego parametru w Parameter Store, musi mieć odpowiednie uprawnienia. Poprawnym podejściem jest utworzenie roli IAM z polityką zezwalającą na akcję ssm:GetParameter (lub ssm:GetParameters) dla zasobu parametru oraz akcję kms:Decrypt dla klucza KMS użytego do szyfrowania parametru. Następnie tę rolę IAM należy przypisać do instancji EC2. Instancje EC2 przyjmują role IAM, co jest bezpieczniejszym rozwiązaniem niż przechowywanie poświadczeń bezpośrednio na instancji. Niepoprawne opcje: Polityki IAM nie są bezpośrednio przypisywane do instancji EC2; zamiast tego przypisuje się role IAM, które zawierają polityki. Relacje zaufania IAM definiują, kto może przyjąć rolę, a nie bezpośrednio uprawnienia dostępu między usługami w ten sposób. Ponadto, Amazon RDS nie jest podmiotem w kontekście dostępu instancji EC2 do Parameter Store. Relacja zaufania między instancją DB a instancją EC2 jest nieistotna dla dostępu do Parameter Store. Systems Manager nie jest podmiotem w polityce zaufania w tym scenariuszu.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana