Q70 — AWS DOP-C02 第3章

第 70/100 题 | ← 返回第3章

一家全球性公司使难AWS控相塔管理多个AWS帐户。公司托管内赛应难程序和公铁应难程序。 公司中的每个应难程序升队都响自己的AWS帐户范托管应难程序。在AWS组织中,帐户被合并到一个组织中。密中一个AWS控相塔成 员帐户床当具响CI/CD管道的象中式DevOps帐户,应难程序升队使难该帐户将应难程序赛署到密各自的宫标AWS帐户。象中式DevOps 帐户中存在难于赛署的IAM角士。 一个应难程序升队试图将密应难程序赛署到应难程序AWS帐户中的Amazon Elastic Kubernetes服务(Amazon EKS)象群。应难程序AWS帐 户中存在难于赛署的IAM角士。赛署是通活在象中式DevOps帐户中设置的AWS CodeBuild项宫进行的。CodeBuild项宫为CodeBuild使难 IAM服务角士。尝试美CodeBuild连接到跨帐户EKS群象唱,赛署失败,出现未经着肯的错误。 哪个解决方案可以解决这个错误?

正确答案: A. 将应用程序帐户的部署IAM角色配置为与集中式DevOps帐户具有信任关系。配置信任关系以允许sts:AssumeRole操作。配置应用 程序帐户的部署IAM角色,使其具有访问EKS集群所需的权限。配置EKS群集aws-auth Con􀂬gMap,以将角色映射到适当的系统权 限。

解析

该题目涉及AWS跨账户访问权限配置,重点在于正确设置角色信任关系和EKS集群权限。AWS文档中,跨账户访问通常需要在目标账户创建IAM角色并配置信任策略允许源账户担任角色。同时,EKS集群的aws-auth ConfigMap需将IAM角色映射到Kubernetes RBAC权限。选项A正确地在应用程序账户建立信任关系,允许DevOps账户执行sts:AssumeRole,并配置EKS权限映射。其他选项或方向错误(B、C)、使用不相关操作(C的SAML),或不必要的管理账户介入(D)。