Q26 — AWS DVA-C02 第2章

第 26/100 题 | ← 返回第2章

以下IAM策略: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" }, { "Effect": "Deny", "Action": "s3:*", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/secrets*" } ] } 该策略对 s3:GetObject 和 s3:PutObject 操作允许的访问是什么?

正确答案: D. 访问 DOC-EXAMPLE-BUCKET 存储桶中的所有对象(以 "secrets" 开头的对象除外)

解析

该策略中,第一条语句(Allow)允许对 arn:aws:s3:::DOC-EXAMPLE-BUCKET/* 执行 s3:GetObject 和 s3:PutObject 操作;第二条语句(Deny)拒绝对 arn:aws:s3:::DOC-EXAMPLE-BUCKET/secrets* 执行所有 s3:* 操作。由于显式拒绝(Deny)优先于允许(Allow),因此对于 s3:GetObject 和 s3:PutObject 操作,允许访问 DOC-EXAMPLE-BUCKET 存储桶中所有对象,但明确排除以 "secrets" 开头的对象。选项 D 正确。