Компания размещает свое приложение на инстансах Amazon EC2 внутри VPC и создает выделенный бакет Amazon S3 для каждого клиента. Приложение должно иметь безопасный доступ только к бакетам S3, которые принадлежат аккаунту AWS компании. Какое решение обеспечивает это с НАИМЕНЬШИМИ операционными издержками?
Выберите ответ
Нажмите на вариант, чтобы проверить свой ответ.
Правильный ответ: Создать шлюзовую конечную точку для Amazon S3, прикрепленную к VPC. Обновить политику профиля IAM инстанса с действием Deny и следующим ключом условия:.
Почему это правильный ответ
Шлюзовая конечная точка (Gateway Endpoint) для S3 позволяет инстансам EC2 в VPC безопасно и приватно получать доступ к S3 без использования интернет-шлюза или NAT-шлюза, что снижает операционные издержки и повышает безопасность. Обновление политики IAM профиля инстанса с условием aws:SourceVpc гарантирует, что доступ к S3 разрешен только из указанного VPC, предотвращая доступ извне. Использование Deny с этим условием является эффективным способом ограничения доступа. NAT Gateway не обеспечивает прямой приватный доступ к S3, а направляет трафик через интернет, что менее безопасно и дороже. Обновление только политики IAM без шлюзовой конечной точки не гарантирует приватность доступа. Политики бакетов с Deny и aws:SourceVpc могут быть эффективными, но управление ими для каждого бакета увеличивает операционные издержки по сравнению с одной политикой IAM на инстансе.
Сдайте экзамен — без бесконечного поиска ответов
Получите все проверенные вопросы и объяснения для этого экзамена в одном месте и сэкономьте часы подготовки. 1000+ сертификаций · 20+ языков · начните бесплатно.
Сдайте экзамен быстрее → Карта не требуется