Lorsqu'une application sur une instance EC2 doit accéder à Amazon S3, quel est le moyen LE PLUS recommandé d'accorder des permissions de manière sécurisée avec des identifiants temporaires sans intégrer de clés d'accès dans le code ?
Une question demandant le moyen recommandé d'accorder des permissions à une application EC2 de manière sécurisée.
Écrire la clé d'accès de l'utilisateur root dans le code.
L'utilisateur root dispose des privilèges les plus puissants du compte, et intégrer ses identifiants dans le code est extrêmement dangereux.
Les dommages en cas de fuite sont énormes, et c'est l'opposé d'une méthode recommandée, c'est donc incorrect.
Attribuer un rôle IAM à l'instance EC2.
Correct. Lorsqu'un rôle IAM est attribué à EC2, l'application obtient automatiquement des identifiants temporaires pour accéder à S3. Il n'est pas nécessaire d'intégrer des clés d'accès dans le code, et les identifiants sont renouvelés automatiquement, ce qui est sécurisé. C'est la bonne pratique.
Coder en dur la clé d'accès d'un utilisateur IAM dans le code.
Même la clé d'accès d'un utilisateur IAM, lorsqu'elle est écrite directement dans le code, présente un risque élevé de fuite et est pénible à renouveler.
Cela ne répond pas à l'exigence d'utiliser en toute sécurité des identifiants temporaires, c'est donc incorrect.
Autoriser l'accès avec un groupe de sécurité.
Un groupe de sécurité est un pare-feu qui contrôle le trafic (ports et IP), et non un mécanisme qui accorde des permissions (authentification/autorisation) aux services AWS.
Il ne peut pas être utilisé pour accorder des permissions à S3, c'est donc incorrect.
« Accéder aux services AWS depuis EC2 », « ne pas intégrer de clés » et « identifiants temporaires » pointent vers la réponse standard : un rôle IAM. Coder en dur la clé root ou les clés d'accès est interdit. Un groupe de sécurité contrôle le trafic, pas l'octroi de permissions.