Khi một ứng dụng trên một instance EC2 cần truy cập Amazon S3, cách nào được khuyến nghị NHẤT để cấp quyền một cách an toàn bằng thông tin xác thực tạm thời mà không nhúng access keys vào mã?
Câu hỏi về cách được khuyến nghị để cấp quyền cho một ứng dụng EC2 một cách an toàn.
Viết access key của root user vào mã.
Root user có quyền mạnh nhất trong tài khoản, và nhúng thông tin xác thực của nó vào mã là cực kỳ nguy hiểm.
Thiệt hại nếu rò rỉ là rất lớn, và nó ngược lại với một phương pháp được khuyến nghị, nên không đúng.
Gán một IAM role cho instance EC2.
Chính xác. Khi một IAM role được gán cho EC2, ứng dụng tự động lấy thông tin xác thực tạm thời để truy cập S3. Không cần nhúng access keys vào mã, và thông tin xác thực được xoay tự động, nên an toàn. Đây là thực hành tốt nhất.
Hard-code access key của một IAM user vào mã.
Ngay cả access key của một IAM user, khi viết trực tiếp trong mã, cũng có rủi ro rò rỉ cao và phiền phức khi xoay.
Nó không đáp ứng yêu cầu dùng thông tin xác thực tạm thời một cách an toàn, nên không đúng.
Cho phép truy cập bằng một security group.
Một security group là một tường lửa kiểm soát lưu lượng (cổng và IP), không phải một cơ chế cấp quyền (xác thực/ủy quyền) cho các dịch vụ AWS.
Nó không thể được dùng để cấp quyền cho S3, nên không đúng.
"Truy cập các dịch vụ AWS từ EC2", "không nhúng keys" và "thông tin xác thực tạm thời" chỉ đến đáp án tiêu chuẩn: một IAM role. Hard-code root key hay access keys là điều cấm. Một security group kiểm soát lưu lượng, không cấp quyền.