Q72 — AWS DOP-C02 第3章
第 72/100 题 | ← 返回第3章
一个公司在密基础设施中使难了一个aws云开发包(awsCDK)应难程序。AWSCDK应难程序创建AWSLBDA函数和附加到这些函数的IAM角 士。该公司黑使难从国所业安全协名的组织。该公司的开发人员可以承担AWSCDK应难程序赛署的角士。 该公司的安全升队发现,开发人员和难于赛署AWSCDK应难程序的角士拥响的肯限多于客需肯限。安全性升队黑发现,CDK应难程序职 创建的隶属于Lambda函数的角士具响比客要的更多的肯限。开发人员客间顶响着予额外肯限的能力。 难最少的操游开销范两足这些需求的解决方案是什么?
- A. 创建一个SCP,拒绝对开发人员角色和AWSCDK应用程序部署角色进行IAM:创造者操作和IAM:更新者操作。集中创建新的IAM角色, 以附加到Rambda函数上,供开发人员使用,以提供Rambda函数。
- B. 创建一个iam许可边界策略。定义AWSCDK应用程序在策略中需要的最大操作。更新帐户的awsCDK引导使用权限边界。更新 AWSCDK应用程序中的配置,用于使用该策略的默认权限边界。 ✓
- C. 创建一个iam许可边界策略。定义AWSCDK应用程序在策略中需要的最大操作。指示开发人员在AWSCDK应用程序代码中创建角 色时使用权限边界策略名称。
- D. 发展 创建一个SCP,它拒绝对开发人员角色进行IAM:创造者操作和IAM:更新者操作。给予AWSCDK部署角色访问,以创建与LMBDA函 数相关的角色。运行aws标识和访问管理访问分析器,以验证Lambda函数角色没有权限。
正确答案: B. 创建一个iam许可边界策略。定义AWSCDK应用程序在策略中需要的最大操作。更新帐户的awsCDK引导使用权限边界。更新 AWSCDK应用程序中的配置,用于使用该策略的默认权限边界。
解析
AWS CDK应用程序在部署时创建的IAM角色和开发人员权限过大的问题需要运用权限边界策略限制最大权限。AWS权限边界策略允许为IAM实体(用户/角色)设置权限上限,覆盖现有策略的权限。选项B通过定义CDK所需最大权限的边界策略,更新CDK引导设置和应用程序配置,确保所有新创建的角色自动继承此边界。这种方法无需开发人员每次手动指定策略名称,减少操作复杂性。其他选项或涉及分散管理(C)或使用SCP过于宽泛(A、D),不符合最小操作开销的要求。正确答案B符合AWS推荐的最小权限原则及权限边界最佳实践。