Bir şirket, Amazon EC2 örnekleri üzerinde bir Amazon Elastic Kubernetes Service (Amazon EKS) kümesinde bir uygulama çalıştırmaktadır. Uygulamanın Amazon DynamoDB kullanan bir kullanıcı arayüzü (UI) ve Amazon S3 kullanan veri servisleri vardır. Şirket, UI için EKS Pod'larının yalnızca Amazon DynamoDB'ye erişebilmesini ve veri servisleri için EKS Pod'larının yalnızca Amazon S3'e erişebilmesini sağlamalıdır. Şirket, AWS Identity and Access Management (IAM) kullanmaktadır. Bu gereksinimleri hangi çözüm karşılar?
Bir cevap seçin
Cevabınızı kontrol etmek için bir seçeneğe dokunun.
Doğru cevap: Bir IAM rolünü üstlenmek için UI ve veri servisleri için ayrı Kubernetes servis hesapları oluşturun. AmazonS3FullAccess politikasını veri servisleri hesabına ve AmazonDynamoDBFullAccess politikasını UI servis hesabına ekleyin..
Neden bu cevap
Doğru cevap, EKS Pod'larına ayrıcalıklı erişim sağlamak için IAM Rolleri için Hizmet Hesaplarını (IRSA) kullanır. IRSA, Kubernetes hizmet hesaplarını IAM rolleriyle ilişkilendirmenize olanak tanır, böylece Pod'lar belirli AWS hizmetlerine erişmek için geçici kimlik bilgileri alabilir. Bu, en az ayrıcalık ilkesini uygulayarak UI Pod'larının yalnızca DynamoDB'ye ve veri servisleri Pod'larının yalnızca S3'e erişmesini sağlar. Yanlış seçeneklerden ilki, her iki IAM politikasını da EC2 örnek profiline ekleyerek Pod'lara gereğinden fazla ayrıcalık verir. Bu, tüm Pod'ların hem S3 hem de DynamoDB'ye erişebileceği anlamına gelir, bu da güvenlik riskidir. İkincisi, IAM politikalarını doğrudan Pod'lara eklemek mümkün değildir; IAM rolleri aracılığıyla yetkilendirme yapılmalıdır. Dördüncü seçenek ise S3 ve DynamoDB erişimini tersine çevirerek yanlış kaynaklara yanlış erişim sağlar.
Sonsuz cevap arayışı olmadan sınavınızı geçin
Bu sınav için her doğrulanmış soruyu ve açıklamayı tek bir yerde edinin ve saatlerce süren hazırlıktan tasarruf edin. 1.000'den fazla sertifika · 20'den fazla dil · ücretsiz başlayın.
Sınavınızı daha hızlı geçin → Kart gerekmez