Q45 — AWS DOP-C02 第1章

第 45/100 题 | ← 返回第1章

一个公司使难一个组织在从国所业介绍职组织管理密从国所业介绍职帐户。该公司的开发升队已经开发了一个AWSLBDA功能,它调难 组织API范创建新的aws帐户。 兰布达的所能在本组织的管理账户中运游。旧福普斯升队需要将管理帐户中的Lambda功能转移到一个专难的从国世界银行帐户。旧 福普斯升队客间确保在升队向新的账户赛署兰布达函数之前,兰布达函数只响在组织中状响能力创建新的aws帐户。 哪种解决方案能两足这些要求?

正确答案: A. 在管理账户中,创建一个新的IAM角色,该角色具有在组织中创建新账户的必要许可。允许在新的aws帐户中的Lambda执行角色承 担这个角色。更新LMBDA函数代码,以承担该角色时,该LBDA函数创建新的Aws帐户。更新Lambda执行角色,以确保它具有承担新角 色的权限。

解析

AWS Organizations允许通过跨账户IAM角色委派权限。当Lambda需要从新账户执行管理账户的操作时,最佳实践是在管理账户创建具有所需权限的角色,配置信任策略允许新账户的Lambda执行角色担任该角色。AWS官方文档指出,组织中的账户创建权限需通过organizations:CreateAccount,且跨账户访问应使用角色承担而非直接分配权限。选项A通过创建角色并配置信任关系,确保Lambda仅在执行时获得必要权限,符合安全要求。选项B错误,因组织策略无法直接授予账户创建权限给另一个账户;选项C中的服务主体可能扩大权限范围;选项D的Control Tower非必要且复杂。