Q29 — AWS DOP-C02 第2章
第 29/100 题 | ← 返回第2章
一家公司使难 AWS CodeArtifact 存储库范存储公司内赛开发的 Python 包。 DevOps 工程师需要使难 AWS CodeDeploy 将应难程序赛署 到 Amazon EC2 实暗。该应难程序使难存储在 CodeArtifact 存储库中的 Python 包。 BeforeInstall 生命周期事件挂钩将安装该包。 DevOps 工程师需要着予 EC2 实暗对 CodeArtifact 存储库的访问肯限。 哪种解决方案可以两足这个要求?
- A. 为 CodeArtifact 创建服务相关角色。将角色与 EC2 实例关联。在实例上使用 aws codeartifact get-authorization-token CLI 命令。
- B. 为 CodeArtifact 存储库配置基于资源的策略,允许 EC2 实例主体执行 ReadFromRepository 操作。
- C. 在 CodeArtifact 存储库上配置 ACL,以允许 EC2 实例访问 Python 包。
- D. 创建一个实例配置文件,其中包含有权访问 CodeArtifact 的 IAM 角色。将实例配置文件与 EC2 实例关联。在实例上使用 aws Codeartifact login CLI 命令。 ✓
正确答案: D. 创建一个实例配置文件,其中包含有权访问 CodeArtifact 的 IAM 角色。将实例配置文件与 EC2 实例关联。在实例上使用 aws Codeartifact login CLI 命令。
解析
AWS权限管理中,EC2实例访问其他AWS服务通常通过IAM角色和实例配置文件授权。AWS文档指出,CodeArtifact的身份验证需通过IAM策略控制,使用实例配置文件赋予EC2实例权限后,执行`aws codeartifact login`生成临时凭证。选项A的服务相关角色不适用于EC2实例直接调用CodeArtifact;B的基于资源策略不适用,因CodeArtifact权限主要依赖IAM策略;C的ACL并非CodeArtifact的权限机制。选项D符合AWS最佳实践,正确配置实例配置文件并通过CLI获取令牌。