Q19 — AWS DOP-C02 第3章

第 19/100 题 | ← 返回第3章

一项安全审查发现,AWS CodeBuild项宫正在使难未经办证的请求美亚马逊S3存储桶下载数据库填床脚本。安全升队不允许未经身份 办证的请求进笔该项宫的S3存储桶。 如何以最安全的方式纠正这个?

正确答案: C. 使用存储桶策略从S3存储桶中删除未经身份验证的访问。修改CodeBuild项目的服务角色,以包括Amazon S3访问。使用AWS CLI 下载数据库填充脚本。

解析

该题核心在于阻止未授权访问S3存储桶并确保CodeBuild合法访问。根据AWS安全模型,应通过存储桶策略禁用公开访问(删除未经身份验证的访问),同时通过IAM服务角色授权CodeBuild访问权限。选项C通过存储桶策略关闭匿名访问,再赋予CodeBuild服务角色S3访问权限,使构建过程通过临时安全凭证访问存储桶,符合最小权限原则。选项D使用长期密钥存在泄露风险,选项B的HTTPS基本验证不符合AWS认证机制,选项A的AllowedBuckets并非原生S3权限控制方式。