Q64 — AWS DOP-C02 第1章
第 64/100 题 | ← 返回第1章
一家跨国公司使难AWSControl Tower管理多个AWS账户。公司托管内赛应难程序和公铁应难程序。 公司中的每个应难程序升队都响自己的AWS帐户难于应难程序托管。这些账户被整合到AWS Organizations中的一个组织中。密中一 个AWS Control Tower成员账户床当象中式DevOps账户,具响CI/CD管道,应难程序升队使难这些管道将应难程序赛署到各自的宫标 AWS账户。难于赛署的IAM角士存在于象中式DevOps帐户中。 应难程序升队正尝试将密应难程序赛署到应难程序AWS账户中的Amazon Elas-tic Kubernetes Service(Amazon EKS)象群。应难程序 AWS帐户中存在难于赛署的IAM角士。赛署是通活在象中式DevOps账户中设置的AWS CodeBuild项宫进行的。CodeBuild项宫使难 CodeBuild的IAM服务角士。在尝试美CodeBuild连接到跨账户EKS象群期须,赛署失败并出现未着肯错误。 哪种解决方案可以解决此错误?
- A. 配置应用程序帐户的部署IAM角色以与集中式DevOps帐户建立信任关系。配置信任关系以允许sts:AssumeRole操作。配置应用程序帐户的部署IAM角色以具有对EKS集群的所需访问权限。配置EKS集群aws-auth ConfigMap以将角色映射到适当的系统权 限。
- B. 配置集中式DevOps账户的部署IAM角色与应用账户建立信任关系。配置信任关系以允许sts:AssumeRole操作。配置集中式DevOps 帐户的部署 IAM角色以允许对CodeBuild进行所需的访问。 ✓
- C. 配置集中式DevOps账户的部署IAM角色与应用账户有信任关系。配置信任关系以允许sts:AssumeRoleWithSAML操作。配置集中式DevOps帐户的部署IAM角色以允许对CodeBuild进行所需的访问。
- D. 配置应用程序账户的部署IAM角色以与AWS Control Tower管理账户建立信任关系。配置信任关系以允许sts:AssumeRole操作。配置应用程序帐户的部署IAM角色以具有对EKS集群的所需访问权限。配置EKS集群aws-auth Con-figMap以将角色映射到适当的系统权限。
正确答案: B. 配置集中式DevOps账户的部署IAM角色与应用账户建立信任关系。配置信任关系以允许sts:AssumeRole操作。配置集中式DevOps 帐户的部署 IAM角色以允许对CodeBuild进行所需的访问。
解析
在这种情况下,部署失败是由于权限问题。选项B提出配置集中式DevOps账户的部署IAM角色与应用账户建立信任关系,并允许sts:AssumeRole操作,同时配置集中式DevOps帐户的部署IAM角色以允许对CodeBuild进行所需的访问。这样可以解决集中式DevOps账户在与应用账户交互时的权限不足问题,从而使得从CodeBuild到跨账户EKS集群的部署能够成功进行。其他选项要么信任关系建立错误,要么操作配置不符合要求,所以选项B是正确答案。 查看全部