Q65 — AWS DVA-C02 第3章
第 65/100 题 | ← 返回第3章
伊家交司使用AWS Lambda 函数和Amazon S 3触发续将图怪处理到S3存储桶中。开发害队在单个AWS账户中设置了优个环获。在最近的生产色署之后,开发害队观动到开发S3存储桶调用了生产环获Lambda 函数。这些调用导致使用生产Lambda 函数意外执行开发S3文件。开发害队必场阻止这些调用。害队必场遵循安哥最佳实践。据种解相远案可以满梦这些要求?
- A. 更新生产Lambda 函数的Lambda 执行角色以添加允许执行角色仅从生产环境S3存储桶读取的策略。
- B. 将开发和生产环境移至单独的AWS账户中。向每个Lambda 函数添加资源策略,以仅允许同一账户内的S3存储桶调用该函数。
- C. 在生产Lambda 函数中添加资源策略,仅允许生产环境S3存储桶调用该函数。 ✓
- D. 将开发和生产环境移至单独的AWS账户中。更新每个函数的Lambda 执行角色 以添加允许执行角色从同一账户内的S3存储桶读取的策略。
正确答案: C. 在生产Lambda 函数中添加资源策略,仅允许生产环境S3存储桶调用该函数。
解析
为了阻止开发S3存储桶意外调用生产Lambda函数,我们需要确保Lambda函数只能被预期的S3存储桶调用。选项A仅限制了Lambda函数的读取权限,但没有限制哪些S3存储桶可以触发它。选项B虽然将环境隔离开来,但添加的资源策略允许同一账户内的任何S3存储桶调用Lambda函数,这不足以防止意外调用。选项D同样没有限制Lambda函数的触发源。选项C在生产Lambda函数中添加资源策略,仅允许生产环境S3存储桶调用该函数,这直接解决了问题,并且遵循了安全最佳实践,即最小化权限和隔离生产与开发环境。因此,C是正确答案。 【灯笼考证提供:swufelp1999】