Q61 — AWS DEA-C01 第1章

第 61/100 题 | ← 返回第1章

一名数据工程师正在配置 Amazon SageMaker Studio,以使用 AWS Glue 交互式会话为机器学习(ML)模型准备数据。 当该数据工程师尝试使用 SageMaker Studio 准备数据时,收到“访问被拒绝”错误。 该工程师应做出哪项更改才能获得对 SageMaker Studio 的访问权限?

正确答案: B. 向该数据工程师的 IAM 用户添加一项策略,该策略在信任策略中包含针对 AWS Glue 和 SageMaker 服务主体的 sts:AssumeRole 操作。

解析

AWS服务间的交互权限配置通常涉及跨服务角色委托。使用AWS Glue交互会话时,SageMaker Studio需要权限通过AWS Security Token Service(STS)承担(AssumeRole)Glue服务角色。IAM用户需被授权执行sts:AssumeRole动作,且信任策略需允许Glue和SageMaker的服务主体。AWS官方文档强调,当服务A调用服务B时,必须在IAM角色信任关系中明确允许服务A的主体(如sagemaker.amazonaws.com)担任该角色。选项B正确配置了必要的STS权限,而其他选项未解决跨服务角色委托问题。