Q52 — AWS DOP-C02 第3章
第 52/100 题 | ← 返回第3章
任何公司都在使难AWS组织范创建和管理多个AWS帐户。AnyCompany最近收购了一家较争的公司Example Corp。在收购活程中, Example Corp的单一AWS帐户通活组织邀请加笔了AnyCompany的管理帐户。AnyCompany将新成员帐户转移到专难于Example Corp的 OU下。 任何公司的DevOps工程师都响一个IAM难户,该难户承担一个会为OrganizationAccountAccessRole的角士范访问成员帐户。该角士配 置响南全访问策略。当DevOps工程师尝试使难AWS管理控相台承担Example Corp的新成员帐户中的角士唱,DevOps工程师名收到以下 错误消息:“一个或多个字克中的信息岛效。请检查您的信息或联系您的管理员。 哪个解决方案可以让DevOps工程师访问新名员帐户?
- A. 在管理帐户中,授予DevOps工程师的IAM用户权限,以在新成员帐户中承担OrganizationAccountAccessRole IAM角色。
- B. 在管理帐户中,创建新的SCP。在SCP中,授予DevOps工程师的IAM用户对新成员帐户中所有资源的完全访问权限。将SCP附加 到包含新成员帐户的OU。
- C. 在新成员帐户中,创建一个名为OrganizationAccountAccessRole的新IAM角色。将AdministratorAccess AWS托管策略附加到角色。 在角色的信任策略中,授予管理帐户承担该角色的权限。 ✓
- D. 在新成员帐户中,编辑OrganizationAccountAccessRole IAM角色的信任策略。授予管理帐户承担该角色的权限。
正确答案: C. 在新成员帐户中,创建一个名为OrganizationAccountAccessRole的新IAM角色。将AdministratorAccess AWS托管策略附加到角色。 在角色的信任策略中,授予管理帐户承担该角色的权限。
解析
AWS组织中的跨账户角色访问需确保目标账户中存在正确配置的IAM角色。当通过邀请方式将现有账户加入组织时,该账户不会自动创建默认的OrganizationAccountAccessRole。AWS文档指出,此角色通常仅在使用组织创建新账户时自动生成。若被邀请账户缺少该角色,需手动创建同名角色,附加相应权限并配置信任策略允许管理账户承担该角色。选项C在目标账户中创建角色并配置信任策略,解决了原有角色缺失或信任策略不正确的问题。其他选项未直接解决角色不存在或信任关系未授权的问题。