Firma używa klastra Amazon EKS i musi zapewnić, że konta usług Kubernetes mają bezpieczny, szczegółowy dostęp do określonych zasobów AWS przy użyciu ról IAM dla kont usług (IRSA). Która kombinacja rozwiązań spełni te wymagania? (Wybierz dwie.)
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Zdefiniuj rolę IAM, która zawiera niezbędne uprawnienia. Dodaj adnotację do kont usług Kubernetes z Amazon Resource Name (ARN) roli IAM., Skonfiguruj relację zaufania między rolami IAM dla kont usług a dostawcą tożsamości OpenID Connect (OIDC)..
Dlaczego to jest odpowiedź
Aby bezpiecznie i szczegółowo zarządzać dostępem kont usług Kubernetes do zasobów AWS za pomocą IRSA, należy zdefiniować rolę IAM z wymaganymi uprawnieniami, a następnie dodać adnotację do konta usługi Kubernetes z ARN tej roli IAM. Jest to kluczowy krok, ponieważ łączy konto usługi Kubernetes z konkretną rolą IAM. Dodatkowo, aby AWS mógł ufać żądaniom pochodzącym z klastra EKS, konieczne jest skonfigurowanie relacji zaufania między rolami IAM dla kont usług a dostawcą tożsamości OpenID Connect (OIDC) klastra EKS. OIDC umożliwia Kubernetesowi uwierzytelnianie się w AWS. Pierwsza opcja jest nieprawidłowa, ponieważ dołączanie polityki bezpośrednio do roli IAM węzłów EKS dałoby wszystkim podom na tym węźle te same uprawnienia, co narusza zasadę najmniejszych uprawnień. Druga opcja dotyczy polityk sieciowych wewnątrz klastra, a nie autoryzacji do zasobów AWS. Trzecia opcja jest niepraktyczna i niebezpieczna, ponieważ modyfikowanie roli klastra dla każdego konta usługi prowadziłoby do nadmiernych uprawnień i trudności w zarządzaniu.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana