Q68 — AWS DOP-C02 第2章

第 68/100 题 | ← 返回第2章

DevOps工程师正在为公司开发应难程序。应难程序需要将文件持久保存到 AmazonS3。该应难程序需要上卖具响公司定批的不同安全分类的文件。这些分类包括育其、私人和公铁。除上卖文件的难户外,任何人都不果查看具响育其分类的文件。应难程序使难难户的IAM角士范调难 S3API 操游。DevOps 工程师修大了应难程序,为上卖到Amazon S3的每个育其对集添加一个值为confidential的 DataClassification 标签和一个包释上卖难户ID的Owner标签。 DevOps 工程师客间采取哪些额外步骤状能两足公司的要求?

正确答案: B. 修改S3存储桶策略以在aws:ResourceTag/DataClassification等于机密且s3:ExistingObjectTag/Owner等于${aws:userid}时允许s3:GetObject操作。创建一个IAM策略,授予对S3存储桶的s3:GetObject操作。将策略附加到需要访问S3存储桶的用户的IAM角色。

解析

为了满足公司的要求,即除上传文件的用户外,任何人都不得查看具有机密分类的文件,DevOps工程师需要确保只有文件的上传者能够访问这些机密文件。根据这一需求,正确的做法应该是基于资源的标签(ResourceTag)和现有对象的标签(ExistingObjectTag)来控制访问。 查看全部