Q29 — AWS SAP-C02 第3章

第 29/75 题 | ← 返回第3章

Q254. 一家公司有一个生成报告并将其存储在Amazon S3存储桶中的应用程序。当用户访问其报告时,应用程序生成签名URL以允许用户下载报告。公司的安全团队发现文件是公开的,任何人都可以在无需身份验证的情况下下载它们。公司已暂停生成新报告,直到问题解决。 哪组操作将立即修复安全问题而不影响应用程序的正常工作流程?

正确答案: D. 使用Amazon S3中的阻止公共访问功能,将存储桶上的IgnorePublicAcls选项设置为TRUE。

解析

由于公司已暂停生成新报告直到问题解决,因此必须立即采取行动来修复安全问题。阻止公共访问功能可用于防止对S3存储桶及其内容的公共访问。启用此功能将覆盖任何允许公共访问的现有存储桶策略或对象权限。将IgnorePublicAcls选项设置为TRUE将阻止通过ACL授予的公共访问。此解决方案将立即修复安全问题而不影响应用程序的正常工作流程。 请记住,创建预签名URL的目的是允许未经身份验证的用户访问私有的存储桶或其中的对象。因此,如果某人仍然可以访问存储桶,则存储桶或其中的对象已被授予公共ACL,需要阻止这种访问,方法是使用IgnorePublicAcls设置。