Bir uygulama, tek bir Amazon S3 bucket'ından hassas verileri almak için birden çok AWS Lambda işlevi kullanır. Şirket, en az ayrıcalık ilkesine uygun olarak yalnızca yetkili Lambda işlevlerinin verilere erişebilmesini sağlamalıdır. Bu gereksinimleri hangi çözüm karşılar?
Bir cevap seçin
Cevabınızı kontrol etmek için bir seçeneğe dokunun.
Doğru cevap: Her Lambda işlevi için ayrı bir IAM rolü oluşturun, her role S3 bucket'ına erişim izni verin ve ilgili IAM rolünü Lambda execution role olarak atayın..
Neden bu cevap
Doğru cevap, her Lambda işlevi için ayrı bir IAM rolü oluşturmak ve bu rollere yalnızca ihtiyaç duydukları S3 bucket erişimini vermek, ardından ilgili IAM rolünü Lambda işlevinin yürütme rolü olarak atamaktır. Bu yaklaşım, en az ayrıcalık ilkesini doğrudan uygular. Her işlevin yalnızca belirli verilere erişim yetkisi olur, böylece yetkisiz erişim riski azalır. Diğer seçenekler neden yanlış: Paylaşılan bir IAM rolü kullanarak tüm Lambda işlevlerine tam S3 bucket erişimi vermek, en az ayrıcalık ilkesini ihlal eder ve güvenlik risklerini artırır. Lambda işlevlerini bir VPC içinde çalıştırmak ve VPC endpoint IP adreslerine göre erişim izni veren bir bucket policy yapılandırmak, Lambda işlevlerinin kendilerine değil, ağ konumlarına göre erişim izni verir. Bu, işlevler arasında ayrım yapmaz ve belirli işlevlere özgü yetkilendirme sağlamaz. Ayrıca, Lambda'nın IP adresleri dinamik olabilir ve yönetimi zorlaştırır. Lambda işlevlerine, işlev ARN'lerine göre erişim izni veren bir bucket policy yapılandırmak, S3 bucket policy'lerinde doğrudan Lambda işlevi ARN'lerini Principal olarak kullanmak için geçerli bir yöntem değildir. S3 bucket policy'leri genellikle IAM kullanıcılarını, rolleri veya AWS hizmetlerini Principal olarak bekler.
Sonsuz cevap arayışı olmadan sınavınızı geçin
Bu sınav için her doğrulanmış soruyu ve açıklamayı tek bir yerde edinin ve saatlerce süren hazırlıktan tasarruf edin. 1.000'den fazla sertifika · 20'den fazla dil · ücretsiz başlayın.
Sınavınızı daha hızlı geçin → Kart gerekmez