Ketika aplikasi di instans EC2 perlu mengakses Amazon S3, manakah cara yang PALING direkomendasikan untuk memberikan izin secara aman dengan kredensial sementara tanpa menyematkan access key dalam kode?
Pertanyaan yang menanyakan cara yang direkomendasikan untuk memberikan izin ke aplikasi EC2 secara aman.
Tulis access key root user dalam kode.
Root user memiliki hak istimewa paling kuat dalam akun, dan menyematkan kredensialnya dalam kode sangat berbahaya.
Kerusakan jika bocor sangat besar, dan ini berlawanan dengan metode yang direkomendasikan, sehingga tidak tepat.
Berikan IAM role ke instans EC2.
Benar. Ketika IAM role diberikan ke EC2, aplikasi secara otomatis memperoleh kredensial sementara untuk mengakses S3. Tidak perlu menyematkan access key dalam kode, dan kredensial dirotasi secara otomatis, sehingga aman. Inilah praktik terbaik.
Hard-code access key IAM user dalam kode.
Bahkan access key IAM user, jika ditulis langsung dalam kode, memiliki risiko kebocoran yang tinggi dan merepotkan untuk dirotasi.
Ia tidak memenuhi persyaratan untuk menggunakan kredensial sementara dengan aman, sehingga tidak tepat.
Izinkan akses dengan security group.
Security group adalah firewall yang mengontrol trafik (port dan IP), bukan mekanisme yang memberikan izin (autentikasi/otorisasi) ke layanan AWS.
Ia tidak dapat digunakan untuk memberikan izin ke S3, sehingga tidak tepat.
"Mengakses layanan AWS dari EC2," "jangan sematkan key," dan "kredensial sementara" menunjuk ke jawaban standar: IAM role. Hard-coding key root atau access key dilarang. Security group mengontrol trafik, bukan pemberian izin.