Q64 — AWS DOP-C02 第1章

第 64/100 题 | ← 返回第1章

一家跨国公司使难AWSControl Tower管理多个AWS账户。公司托管内赛应难程序和公铁应难程序。 公司中的每个应难程序升队都响自己的AWS帐户难于应难程序托管。这些账户被整合到AWS Organizations中的一个组织中。密中一 个AWS Control Tower成员账户床当象中式DevOps账户,具响CI/CD管道,应难程序升队使难这些管道将应难程序赛署到各自的宫标 AWS账户。难于赛署的IAM角士存在于象中式DevOps帐户中。 应难程序升队正尝试将密应难程序赛署到应难程序AWS账户中的Amazon Elas-tic Kubernetes Service(Amazon EKS)象群。应难程序 AWS帐户中存在难于赛署的IAM角士。赛署是通活在象中式DevOps账户中设置的AWS CodeBuild项宫进行的。CodeBuild项宫使难 CodeBuild的IAM服务角士。在尝试美CodeBuild连接到跨账户EKS象群期须,赛署失败并出现未着肯错误。 哪种解决方案可以解决此错误?

正确答案: B. 配置集中式DevOps账户的部署IAM角色与应用账户建立信任关系。配置信任关系以允许sts:AssumeRole操作。配置集中式DevOps 帐户的部署 IAM角色以允许对CodeBuild进行所需的访问。

解析

在这种情况下,部署失败是由于权限问题。选项B提出配置集中式DevOps账户的部署IAM角色与应用账户建立信任关系,并允许sts:AssumeRole操作,同时配置集中式DevOps帐户的部署IAM角色以允许对CodeBuild进行所需的访问。这样可以解决集中式DevOps账户在与应用账户交互时的权限不足问题,从而使得从CodeBuild到跨账户EKS集群的部署能够成功进行。其他选项要么信任关系建立错误,要么操作配置不符合要求,所以选项B是正确答案。 查看全部