Bir şirketin, bir AWS Lambda fonksiyonunun Amazon S3'ten dosyaları indirip şifresini çözdüğü bir uygulama iş akışı vardır. Dosyalar AWS Key Management Service (AWS KMS) anahtarlarıyla şifrelenir. Bir çözümler mimarının doğru izinlerin ayarlandığından emin olması gerekmektedir. Hangi eylem kombinasyonu bunu başarır? (İki tane seçin.)
Bir cevap seçin
Cevabınızı kontrol etmek için bir seçeneğe dokunun.
Doğru cevap: KMS anahtarının politikasında Lambda IAM rolü için decrypt iznini verin., kms:decrypt izniyle yeni bir IAM rolü oluşturun ve bu rolü Lambda fonksiyonuna yürütme rolü olarak ekleyin..
Neden bu cevap
Lambda fonksiyonunun dosyaların şifresini çözebilmesi için kms:decrypt iznine sahip olması gerekir. Bu izni sağlamanın iki ana yolu vardır. Birincisi, Lambda fonksiyonunun yürütme rolüne (IAM rolü) kms:decrypt iznini veren bir IAM politikası eklemektir. Bu, Lambda'nın KMS anahtarını kullanmasına genel olarak izin verir. İkincisi, KMS anahtarının kendi anahtar politikasına, Lambda'nın IAM rolünün bu anahtarla şifre çözme işlemi yapmasına izin veren bir ifade eklemektir. Her iki yöntem de Lambda'nın gerekli izne sahip olmasını sağlar. Diğer seçenekler yanlıştır çünkü: Lambda fonksiyonunun kaynak politikasına kms:decrypt eklemek, Lambda'nın kendisi için değil, başka bir hizmetin Lambda'yı çağırması için izinleri yönetir. KMS anahtarının politikasında Lambda kaynak politikası için decrypt izni vermek, kaynak politikaları genellikle bir hizmetin diğerine erişimini yönettiği için doğru değildir; KMS anahtarına erişim için IAM rolleri kullanılır. kms:decrypt izniyle yeni bir IAM politikası oluşturup politikayı doğrudan Lambda fonksiyonuna eklemek mümkün değildir; politikalar IAM rolleriyle ilişkilendirilir.
Sonsuz cevap arayışı olmadan sınavınızı geçin
Bu sınav için her doğrulanmış soruyu ve açıklamayı tek bir yerde edinin ve saatlerce süren hazırlıktan tasarruf edin. 1.000'den fazla sertifika · 20'den fazla dil · ücretsiz başlayın.
Sınavınızı daha hızlı geçin → Kart gerekmez