Компания управляет сервисом мониторинга инфраструктуры. Компания разрабатывает новую функцию, которая позволит сервису отслеживать данные в AWS-аккаунтах клиентов. Новая функция будет вызывать AWS API в аккаунтах клиентов для описания инстансов Amazon EC2 и чтения метрик Amazon CloudWatch. Что должна сделать компания для получения доступа к аккаунтам клиентов НАИБОЛЕЕ безопасным способом?
Выберите ответ
Нажмите на вариант, чтобы проверить свой ответ.
Правильный ответ: Убедиться, что клиенты создают в своих аккаунтах роль IAM с разрешениями только для чтения EC2 и CloudWatch и политикой доверия к аккаунту компании..
Почему это правильный ответ
Наиболее безопасный способ — это использование ролей IAM с политиками доверия. Клиенты создают роль IAM в своих аккаунтах, предоставляя ей необходимые разрешения (только для чтения EC2 и CloudWatch) и указывая аккаунт компании как доверенную сущность. Это позволяет компании принимать на себя (assume) эту роль и получать временные учетные данные для доступа к ресурсам клиента, не требуя обмена постоянными ключами доступа. Создание бессерверного API для выдачи токенов усложняет архитектуру и не является стандартным или наиболее безопасным способом для кросс-аккаунтного доступа. Использование пользователей IAM с хранением ключей доступа в системе секретов менее безопасно, так как постоянные ключи доступа представляют больший риск при компрометации. Amazon Cognito предназначен для аутентификации пользователей веб- и мобильных приложений, а не для кросс-аккаунтного доступа между AWS-аккаунтами компаний.
Сдайте экзамен — без бесконечного поиска ответов
Получите все проверенные вопросы и объяснения для этого экзамена в одном месте и сэкономьте часы подготовки. 1000+ сертификаций · 20+ языков · начните бесплатно.
Сдайте экзамен быстрее → Карта не требуется