Q45 — AWS DOP-C02 第1章
第 45/100 题 | ← 返回第1章
一个公司使难一个组织在从国所业介绍职组织管理密从国所业介绍职帐户。该公司的开发升队已经开发了一个AWSLBDA功能,它调难 组织API范创建新的aws帐户。 兰布达的所能在本组织的管理账户中运游。旧福普斯升队需要将管理帐户中的Lambda功能转移到一个专难的从国世界银行帐户。旧 福普斯升队客间确保在升队向新的账户赛署兰布达函数之前,兰布达函数只响在组织中状响能力创建新的aws帐户。 哪种解决方案能两足这些要求?
- A. 在管理账户中,创建一个新的IAM角色,该角色具有在组织中创建新账户的必要许可。允许在新的aws帐户中的Lambda执行角色承 担这个角色。更新LMBDA函数代码,以承担该角色时,该LBDA函数创建新的Aws帐户。更新Lambda执行角色,以确保它具有承担新角 色的权限。 ✓
- B. 在管理账户中,对各组织的授权行政进行处理。创建一个新的授权策略,授予新的aws帐户在组织中创建新的aws帐户的权限。确 保兰布达的执行角色具有组织:创造者帐户许可。
- C. 在管理账户中,创建一个新的IAM角色,该角色具有在组织中创建新账户的必要许可。允许这个角色由兰布达服务校长承担。更 新LMBDA函数代码,以承担该角色时,该LBDA函数创建新的Aws帐户。更新Lambda执行角色,以确保它具有承担新角色的权限。
- D. 发展 在管理帐户中,启用美国水警控制塔。打开美国水警控制塔的授权管理。创建一个资源策略,允许新的aws帐户在aws控制塔 中创建新的aws帐户。在新的aws帐户中更新LMBDA函数代码,使用aws控制塔API。确保兰布达执行角色具有控制塔:创建帐户许 可。
正确答案: A. 在管理账户中,创建一个新的IAM角色,该角色具有在组织中创建新账户的必要许可。允许在新的aws帐户中的Lambda执行角色承 担这个角色。更新LMBDA函数代码,以承担该角色时,该LBDA函数创建新的Aws帐户。更新Lambda执行角色,以确保它具有承担新角 色的权限。
解析
AWS Organizations允许通过跨账户IAM角色委派权限。当Lambda需要从新账户执行管理账户的操作时,最佳实践是在管理账户创建具有所需权限的角色,配置信任策略允许新账户的Lambda执行角色担任该角色。AWS官方文档指出,组织中的账户创建权限需通过organizations:CreateAccount,且跨账户访问应使用角色承担而非直接分配权限。选项A通过创建角色并配置信任关系,确保Lambda仅在执行时获得必要权限,符合安全要求。选项B错误,因组织策略无法直接授予账户创建权限给另一个账户;选项C中的服务主体可能扩大权限范围;选项D的Control Tower非必要且复杂。