Q58 — AWS DOP-C02 第1章
第 58/100 题 | ← 返回第1章
开发人员正在为游为服务(SaaS)应难程序的新软件创建概念证场。该应难程序位于一个铁享开发的aws帐户中,该帐户是aws组织中组 织的一赛分。 开发人员需要为正在考虑证场概念的aws服务创建与服务制关的iam角士。解决方案只需要赋予开发人员创建和配置与服务制关的角 士的能力。 哪种解决方案能两足这些要求?
- A. 在组织的管理帐户中为开发人员创建一个iam用户。在开发帐户中为开发人员配置交叉帐户角色。将交叉账户作用的范围限于 共同事务。
- B. 将开发人员添加到iam组中。将电源用户访问管理策略附加到IAM组。对用户帐户执行多因素身份验证(MFA)。
- C. 在各组织的发展账户中增加一个SCP。用iam:∗的拒绝规则配置SCP,以限制开发人员的访问。
- D. 发展 创建一个具有必要的iam访问权限的iam角色,允许开发人员创建策略和角色。创建并为角色附加权限边界.授予开发人员权 限来承担这个角色。 ✓
正确答案: D. 发展 创建一个具有必要的iam访问权限的iam角色,允许开发人员创建策略和角色。创建并为角色附加权限边界.授予开发人员权 限来承担这个角色。
解析
AWS IAM权限管理与权限边界。AWS权限边界用于限制实体(如角色)的最大权限,确保用户即使拥有策略权限也无法超出边界范围。选项D通过创建具有IAM访问权限的角色并附加权限边界,允许开发人员在限定范围内创建和配置角色。其他选项存在权限过大(B)、影响范围过广(C)或操作复杂(A)的问题。AWS官方文档指出权限边界适用于委派角色创建任务时限制权限,确保安全合规。