Untuk permintaan yang diterima oleh Amazon API Gateway, siapa yang bertanggung jawab mengimplementasikan pengaturan keamanan seperti autentikasi (validasi kunci API, autentikasi IAM, dll.) dan pembatasan laju (proteksi DDoS)?
Dalam model tanggung jawab bersama, menentukan siapa yang bertanggung jawab atas pengaturan keamanan layanan terkelola (API Gateway).
AWS bertanggung jawab.
AWS bertanggung jawab atas infrastruktur dasar, ketersediaan, dan ketahanan layanan terkelola API Gateway (security OF the cloud).
Namun, metode autentikasi atau pembatasan laju mana yang dikonfigurasi bergantung pada persyaratan aplikasi pelanggan. Konfigurasi itu sendiri adalah tanggung jawab pelanggan, sehingga jawaban ini tidak tepat.
Kontrol bersama
Kontrol bersama adalah area di mana kedua pihak terlibat di lapisan yang berbeda, seperti manajemen patch.
Isi konfigurasi keamanan API Gateway sepenuhnya ditentukan dan diimplementasikan oleh pelanggan, sehingga ini bukan kontrol bersama. Jawaban ini tidak tepat.
Layanan ini aman secara default, sehingga tidak diperlukan konfigurasi tambahan oleh pelanggan.
API Gateway TIDAK mengaktifkan autentikasi atau pembatasan laju secara otomatis saat dibuat.
Pelanggan harus secara eksplisit mengonfigurasi metode autentikasi dan throttling sesuai persyaratan aplikasi mereka. Asumsi bahwa tidak diperlukan konfigurasi adalah salah.
Pelanggan bertanggung jawab.
Benar. Meskipun API Gateway adalah layanan terkelola, metode autentikasi (kunci API, IAM, Cognito, dll.) dan pembatasan laju yang digunakan ditentukan dan diimplementasikan oleh pelanggan berdasarkan persyaratan aplikasinya. Ini berada dalam ruang lingkup konfigurasi pelanggan (security IN the cloud). AWS hanya menjamin ketersediaan infrastruktur dasar.
Bahkan untuk layanan terkelola, 'konfigurasi' adalah tanggung jawab pelanggan. AWS menjamin infrastruktur dan ketersediaan, tetapi apa yang dikonfigurasi dan bagaimana (autentikasi, enkripsi, kontrol akses) diputuskan oleh pelanggan. Prinsip ini sering muncul di ujian.