Q16 — AWS DVA-C02 第1章
第 16/100 题 | ← 返回第1章
开发人乡的代码存储在伊个Amazon S3存储桶中。该代码必场作为AWS Lambda函数在同伊AWS区域的优个帐户中色署。每个帐户都将声行的AWS CloudFormation模板将色署Lambda函数。允许CloudFormation访问S3存储桶中的Lambda代码的最安哥远式是什么?
- A. 授予CloudFormation服务角色S3 ListBucket和GetObject权限。在Amazon S3中添加一个以“AWS”为主体的桶策略,其中包含帐户号码。 ✓
- B. 授予CloudFormation服务角色S3 GetObject权限。在Amazon S3中添加一个以“”为主体的桶策略。
- C. 使用基于服务的链接,通过在资源中显式添加S3存储桶的帐户号码,为Lambda函数授予S3 ListBucket和GetObject权限。
- D. 使用基于服务的链接,为Lambda函数授予S3 GetObject权限。添加一个资源为“”以允许访问S3存储桶。
正确答案: A. 授予CloudFormation服务角色S3 ListBucket和GetObject权限。在Amazon S3中添加一个以“AWS”为主体的桶策略,其中包含帐户号码。
解析
选项A中的方法是最安全的。它限制了对S3存储桶的访问,仅允许CloudFormation服务角色具有ListBucket和GetObject权限。通过在Amazon S3桶策略中指定主体为“AWS”并包含允许访问的特定帐户号码,确保只有指定帐户可以访问该存储桶。其他选项存在一些安全风险,如使用通配符“∗”来允许所有主体访问S3存储桶。 【灯笼考证提供:swufelp1999】