Firma tworzy aplikację do udostępniania plików, która przechowuje pliki w zasobniku Amazon S3 i udostępnia je za pośrednictwem dystrybucji Amazon CloudFront. Firma nie chce, aby użytkownicy mieli bezpośredni dostęp do plików za pośrednictwem adresu URL S3. Co powinien zrobić architekt rozwiązań, aby spełnić te wymagania?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Utworzyć tożsamość dostępu do źródła (OAI), przypisać OAI do dystrybucji CloudFront i skonfigurować uprawnienia zasobnika S3 tak, aby tylko OAI miało uprawnienia do odczytu..
Dlaczego to jest odpowiedź
Utworzenie tożsamości dostępu do źródła (OAI) i przypisanie jej do dystrybucji CloudFront, a następnie skonfigurowanie polityki zasobnika S3 tak, aby tylko OAI miało uprawnienia do odczytu, jest zalecanym i bezpiecznym sposobem ograniczenia bezpośredniego dostępu do zasobnika S3. OAI działa jako wirtualny użytkownik, któremu CloudFront może zaufać, aby pobierać zawartość z S3. Pozostałe opcje są nieprawidłowe: Pisanie indywidualnych polityk dla każdego zasobnika S3 jest nieefektywne i trudne do zarządzania na dużą skalę. Tworzenie użytkownika IAM i przypisywanie go do CloudFront nie jest standardową ani bezpieczną praktyką; CloudFront nie używa użytkowników IAM do dostępu do S3. Pisanie polityki zasobnika S3 z ID dystrybucji CloudFront jako Principal nie jest obsługiwane bezpośrednio; CloudFront wymaga OAI do autoryzacji dostępu do prywatnych zasobników S3.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana