Q62 — AWS DOP-C02 第1章
第 62/100 题 | ← 返回第1章
一个开发升队希望使难AWS CloudFormation堆栈范赛署应难程序。但是,developer IAM角士顶响提供AWS CloudFormation模板中指定 的资源职需的肯限。DevOps工程师需要实现一个允许开发人员赛署堆栈的解决方案。解决方案客间遵循最争特肯原则。 哪种解决方案能够两足这些要求?
- A. 创建一个IAM策略,允许开发人员提供所需的资源。将策略附加到开发人员IAM角色。
- B. 创建允许完全访问AWS CloudFormation的IAM策略。将策略附加到开发人员IAM角色。
- C. 创建具有所需权限的AWS CloudFormation服务角色。授予开发人员IAM角色cloudformation:∗ action。在堆栈部署期间使用新的服 务角色。
- D. 创建具有所需权限的AWS CloudFormation服务角色。授予开发人员IAM角色iam:PassRole权限。在堆栈部署期间使用新的服务角 色。 ✓
正确答案: D. 创建具有所需权限的AWS CloudFormation服务角色。授予开发人员IAM角色iam:PassRole权限。在堆栈部署期间使用新的服务角 色。
解析
AWS CloudFormation服务角色允许将实际资源创建权限委托给服务本身,而非直接授予用户。当用户部署堆栈时,CloudFormation使用服务角色的权限执行操作。用户必须具有`iam:PassRole`权限才能将服务角色传递给CloudFormation,但无需直接拥有资源权限。选项D通过分离用户权限和服务角色权限,确保开发人员仅能执行必要操作(部署堆栈和传递角色),符合最小特权原则。其他选项要么授予过多权限(B、A),要么未正确关联服务角色权限(C未允许PassRole)。AWS官方推荐使用服务角色结合`iam:PassRole`实现最小权限部署。