Firma przechowuje szablon AWS CloudFormation w zasobniku Amazon S3, który blokuje publiczny dostęp. Firma chce przyznać CloudFormation dostęp do szablonu na podstawie konkretnych żądań użytkowników w celu utworzenia środowiska testowego, zgodnie z najlepszymi praktykami bezpieczeństwa. Które rozwiązanie spełnia te wymagania?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Utwórz wstępnie podpisany URL dla obiektu szablonu. Skonfiguruj stos CloudFormation tak, aby używał wstępnie podpisanego URL..
Dlaczego to jest odpowiedź
Prawidłowa odpowiedź to utworzenie wstępnie podpisanego URL (pre-signed URL) dla obiektu szablonu. Wstępnie podpisany URL zapewnia tymczasowy dostęp do prywatnego obiektu S3, bez konieczności modyfikowania zasad dostępu do zasobnika. Użytkownik, który otrzyma taki URL, może użyć go do pobrania szablonu CloudFormation. To rozwiązanie jest zgodne z najlepszymi praktykami bezpieczeństwa, ponieważ dostęp jest ograniczony czasowo i udzielany tylko na żądanie. Pozostałe opcje są nieprawidłowe: Utworzenie punktu końcowego bramy VPC dla Amazon S3 jest przeznaczone do routingu ruchu z VPC do S3 i nie rozwiązuje problemu dostępu CloudFormation do prywatnego obiektu S3 spoza VPC lub w przypadku, gdy CloudFormation działa w innej sieci. Utworzenie interfejsu API REST Amazon API Gateway z zasobnikiem S3 jako celem jest zbyt skomplikowane i niepotrzebne do prostego pobrania szablonu. Zezwolenie na publiczny dostęp do obiektu szablonu, nawet tymczasowo, narusza najlepsze praktyki bezpieczeństwa, narażając szablon na nieautoryzowany dostęp.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana