Q19 — AWS DVA-C02 第3章
第 19/100 题 | ← 返回第3章
在声行在AWS Lambda白的应用程序商要访问Amazon S3存储桶中的特定结度机密的对象。根哪最并权限原则,交司使用仅限临时凭证的远式授予对S3存储桶的访问权限。开发人乡如何以最安哥的远式配置对S3存储桶的访问权限?
- A. 在应用程序代码中硬编码访问S3对象所需的凭证。使用这些凭证访问所需的S3对象。
- B. 创建一个具有访问S3存储桶权限的秘密访问密钥和访问密钥ID。将密钥和密钥ID存储在AWS Secrets Manager中。配置应用程序检索Secrets Manager秘密并使用凭证访问S3对象。
- C. 创建一个Lambda函数执行角色。将一个授予访问S3存储桶中特定对象权限的策略附加到该角色。 ✓
- D. 创建一个具有访问S3存储桶权限的秘密访问密钥和访问密钥ID。将密钥和密钥ID作为环境变量存储在Lambda中。使用环境变量访问所需的S3对象。
正确答案: C. 创建一个Lambda函数执行角色。将一个授予访问S3存储桶中特定对象权限的策略附加到该角色。
解析
在处理高度机密的对象时,安全性是首要考虑的。根据最小权限原则,应该只为应用程序提供完成其任务所需的最小权限。首先,让我们分析每个选项:A 在应用程序代码中硬编码访问S3对象所需的凭证。使用这些凭证访问所需的S3对象。这种方法存在安全风险,因为凭证直接暴露在代码中,容易被恶意用户获取或泄露。B创建一个具有访问S3存储桶权限的秘密访问密钥和访问密钥ID。将密钥和密钥ID存储在AWS Secrets Manager中。配置应用程序检索Secrets Manager秘密并使用凭证访问S3对象。这是一个相对安全的方法。Secrets Manager提供了加密和安全存储密钥的能力,使得密钥不容易被泄露。应用程序需要配置来从Secrets Manager检索密钥,而不是直接使用硬编码的凭证。C 创建一个Lambda函数执行角色。将一个授予访问S3存储桶中特定对象权限的策略附加到该角色。虽然Lambda函数执行角色为AWS服务提供了IAM权限,但它不是用于存储敏感凭证的适当位置。此选项不涉及将密钥或凭证存储在Lambda中。D 创建一个具有访问S3存储桶权限的秘密访问密钥和访问密钥ID。将密钥和密钥ID作为环境变量存储在Lambda中。使用环境变量访问所需的S3对象。将密钥作为环境变量存储在Lambda中并不是一个安全的做法,因为环境变量是可公开查看的,这增加了密钥被泄露的风险。综上所述,最佳做法是B 【灯笼考证提供:swufelp1999】