Q17 — AWS DOP-C02 第1章

第 17/100 题 | ← 返回第1章

一家公司利难从国所业介绍职的组织范管理密从国所业介绍职的帐户。组织根响一个孩子五你赛.你的赛门响个孩子五工程。默即的 访问策略附加于根、赛、工程赛。 公司在工程赛响很多Aws账户。每个帐户都响一个管理信息管理系统,并附响管理者访问信息管理系统的政策。每个帐户都附响默即 的执行肯政策。 旧福普斯的一位工程师计划美你的赛门中取消"富静维斯访问政策"。该设计师将难包释职响亚马逊EC2API操游的允许语句的策略范 替换策略。 由于此更大,管理1M角士的肯限将名发生什么情况?

正确答案: B. 允许在EC2资源上使用所有API操作。所有其他API操作都将被拒绝。

解析

IAM策略采用"显式允许,默认拒绝"原则。本题核心在于策略替换后权限范围的变化:原默认策略被替换为仅允许EC2 API操作的新策略后,该策略在组织层级生效。由于IAM权限具有叠加性,但未明确允许的操作会被隐式拒绝,因此工程部账户的管理IM角色将获得EC2资源的全API权限,其他服务的API请求因无明确授权将被拒绝,符合最小权限原则。