Bir perakende şirketinin, her biri AWS Organizations altında kendi AWS hesabını yöneten birden çok iş ekibi vardır. Her ekip, ürün envanterini kendi hesabındaki bir DynamoDB tablosunda saklar. Merkezi bir envanter raporlama uygulaması paylaşılan bir hesapta çalışır ve tüm ekiplerin DynamoDB tablolarındaki öğeleri okuması gerekir. Hangi kimlik doğrulama seçeneği bu gereksinimleri EN güvenli şekilde karşılar?
Bir cevap seçin
Cevabınızı kontrol etmek için bir seçeneğe dokunun.
Doğru cevap: Her iş hesabında, DynamoDB tablosuna erişim izni veren bir policy'ye ve envanter uygulaması hesabındaki belirli bir role güvenen bir trust policy'ye sahip BU_ROLE adlı bir IAM role oluşturun. Envanter hesabında, STS AssumeRole API'sini çağırabilen APP_ROLE adlı bir role oluşturun. Uygulamayı, DynamoDB tablosunu okumak için APP_ROLE'u kullanacak ve cross-account BU_ROLE'u assume edecek şekilde yapılandırın..
Neden bu cevap
Doğru cevap, AWS Güvenlik Token Hizmeti (STS) ve çapraz hesap IAM rolleri kullanarak en güvenli kimlik doğrulama yöntemini sunar. Envanter uygulaması, kendi hesabındaki bir rolü üstlenir (APPROLE) ve bu rol daha sonra her bir iş hesabındaki ilgili DynamoDB tablolarına erişim sağlayan başka bir rolü (BUROLE) üstlenir. Bu yaklaşım, uzun süreli kimlik bilgilerinin (erişim anahtarları gibi) doğrudan uygulamada saklanmasını veya yönetilmesini gerektirmediği için güvenliği artırır. Ayrıca, her bir iş hesabındaki kaynaklara erişimi, en az ayrıcalık ilkesine uygun olarak hassas bir şekilde kontrol etme esnekliği sağlar. Diğer seçenekler daha az güvenlidir: Secrets Manager kullanmak, kimlik bilgilerini güvenli bir şekilde saklasa da, her bir DynamoDB tablosu için ayrı kimlik bilgileri oluşturma ve yönetme yükü getirir ve çapraz hesap erişimi için en uygun yöntem değildir. IAM kullanıcıları ve erişim anahtarlarını kullanmak, uzun süreli kimlik bilgilerinin doğrudan uygulamada yönetilmesini gerektirir ve bu da güvenlik risklerini artırır. Anahtarların manuel olarak döndürülmesi operasyonel yükü artırır. AWS Certificate Manager (ACM) ile entegrasyon, DynamoDB için doğrudan bir kimlik doğrulama mekanizması değildir. ACM, SSL/TLS sertifikalarını yönetmek için kullanılır, ancak DynamoDB API çağrılarını doğrulamak için uygun değildir.
Sonsuz cevap arayışı olmadan sınavınızı geçin
Bu sınav için her doğrulanmış soruyu ve açıklamayı tek bir yerde edinin ve saatlerce süren hazırlıktan tasarruf edin. 1.000'den fazla sertifika · 20'den fazla dil · ücretsiz başlayın.
Sınavınızı daha hızlı geçin → Kart gerekmez