22 вопроса
Практика
Какие основные плюсы создания AWS Organization и как это помогает управлять IAM политиками, программно создавать AWS аккаунты, управлять способами оплаты и включать consolidated billing?
Какие основные преимущества использования AWS Security Token Service (STS) и как это улучшает безопасность AWS окружения благодаря управлению временными учетными данными безопасности?
Какую роль играет Identity Provider в установлении доверия между AWS и корпоративной средой Active Directory при создании федеративной роли?
Чем отличается Administrative Access от Power User Access с точки зрения встроенных политик, и как их права сравниваются, особенно когда дело касается доступа к ресурсам AWS и управления пользователями и группами?
Какие плюсы от создания группы в IAM и как это упрощает управление пользователями и назначение политик?
Какой приоритет между явным разрешением и явным запретом, и что из них имеет преимущество?
Что такое "non-explicit deny" в контексте IAM user'а, и как это влияет на его возможность доступа к AWS сервисам, когда к нему не прикреплены никакие policies?
Что такое принцип наименьших привилегий в контексте IAM и как он гарантирует, что пользователям или ролям дают только минимально необходимый уровень доступа для выполнения их задач?
Чем отличается Root пользователь AWS от IAM пользователя, и как у них различаются права доступа и привязанные политики?
Какое максимальное количество политик можно присоединить к роли и какой там мягкий лимит?
В чём отличие между Service Role и SAML Federated Role, и как их обычно используют в AWS?
Можешь объяснить разницу между IAM Roles и IAM Policies и рассказать, когда каждое из них нужно использовать в AWS?
Какие методы аутентификации доступны в AWS, и можешь ты объяснить каждый из них, включая Username/Password, Access Key и Access Key с Session Token?
Что такое Multi-Factor Authentication (MFA) в AWS и как она усиливает безопасность твоей инфраструктуры, добавляя дополнительный уровень аутентификации сверх паролей или access keys?
Компания развертывает веб-приложение с фронтенд-частью на Amazon EC2 и чувствительными данными в Amazon S3. По политике безопасности весь доступ к этим данным должен быть аутентифицирован и авторизован через централизованную систему управления доступом, которую операирует отдельная команда безопасности. Кроме того, команда разработки веб-приложения на EC2 не должна иметь возможности прямого доступа к данным в S3, чтобы гарантировать, что весь доступ к данным идет через централизованную систему управления. Какой подход конфигурации удовлетворяет этим требованиям?
Твое приложение на EC2 инстансе должно проверить, существуют ли файлы в приватном S3 бакете, прежде чем генерировать pre-signed URLs для скачивания этих файлов пользователями. Как приложению безопасно использовать AWS credentials для доступа к S3 бакету, и какой подход рекомендуется для выдачи нужных permissions?
Какую практику безопасности тебе нужно использовать, чтобы безопасно дать EC2 инстансу доступ к DynamoDB, когда приложение на EC2 инстансе использует DynamoDB SDK для получения данных?
Как ты можешь скрыть ID своего AWS аккаунта от пользователей, когда они заходят в AWS Management Console, и можно ли как-то изменить название аккаунта, которое показывается в URL при входе?
Когда я работаю в AWS Console, я не могу запустить инстанс и получаю ошибку, связанную с IAM. Как мне это исправить, чтобы получить нужные права доступа и двигаться дальше?
Какие два типа доступа можно выдать пользователю при его создании, и что это такое?
Что такое политики, и какие вообще существуют типы политик?
Что такое роли в AWS и чем они отличаются от пользователей?