Q66 — AWS DVA-C02 第1章
第 66/100 問 | ← 第1章
两个容器化微服务托管在Amazon EC2上的Amazon ECS中。第一个微服务读取Amazon RDS Aurora数据库实例,第二个微服务读取Amazon DynamoDB表。 如何为每个微服务授予最小权限?
- A. 在ECS代理配置文件中,EC2实例启动时将ECS_ENABLE_TASK_IAM_ROLE设置为false。为ECS任务运行第一个微服务,并为其分配具有Aurora数据库只读访问权限的IAM角色。为ECS任务运行第二个微服务,并为其分配具有DynamoDB只读访问权限的IAM角色。
- B. 在ECS代理配置文件中,EC2实例启动时将ECS_ENABLE_TASK_IAM_ROLE设置为false。向实例配置文件角色授予对Aurora数据库和DynamoDB的只读访问权限。
- C. 在ECS代理配置文件中,EC2实例启动时将ECS_ENABLE_TASK_IAM_ROLE设置为true。为ECS任务运行第一个微服务,并为其分配具有Aurora数据库只读访问权限的IAM角色。为ECS任务运行第二个微服务,并为其分配具有DynamoDB只读访问权限的IAM角色。 ✓
- D. 在ECS代理配置文件中,EC2实例启动时将ECS_ENABLE_TASK_IAM_ROLE设置为true。向实例配置文件角色授予对Aurora数据库和DynamoDB的只读访问权限。
正解: C. 在ECS代理配置文件中,EC2实例启动时将ECS_ENABLE_TASK_IAM_ROLE设置为true。为ECS任务运行第一个微服务,并为其分配具有Aurora数据库只读访问权限的IAM角色。为ECS任务运行第二个微服务,并为其分配具有DynamoDB只读访问权限的IAM角色。
解説
在为两个微服务授予最小权限时,将ECS_ENABLE_TASK_IAM_ROLE设置为true可更有效地支持任务级IAM角色的使用。为第一个微服务的ECS任务分配仅具备Aurora数据库只读权限的IAM角色;为第二个微服务的ECS任务分配仅具备DynamoDB只读权限的IAM角色,即可实现最小且精确的权限控制。选项A中将ECS_ENABLE_TASK_IAM_ROLE设为false不利于有效利用任务级IAM角色。选项B中统一向实例配置文件角色授予两种资源的只读权限,粒度粗、权限过大。选项D同样存在权限过度授予的问题。因此,正确答案是C。 【灯笼考证提供:swufelp1999】