Q69 — AWS SAA-C03 第4章
第 69/105 题 | ← 返回第4章
Q264.解决方案架构师需要允许团队成员访问两个不同 AWS 账户中的 Amazon S3 存储桶:开发账户和生产账户.该团队目前可以通过使用分配给在帐户中具有适当权限的 IAM 组的唯一 IAM 用户来访问开发帐户中的 S3 存储桶.解决方案架构师在生产账户中创建了一个 IAM 角色.该角色具有授予对生产账户中 S3 存储桶的访问权限的策略.哪种解决方案将满足这些要求,同时遵守最小特权原则?
- A. 将 AdministratorAccess 策略附加到开发帐户用户
- B. 在生产账户角色的信任策略中添加开发账户作为委托人 ✓
- C. 关闭生产账户中S3 bucket上的S3 Block Public Access功能
- D. 在生产账户中为每个团队成员创建一个具有唯一凭据的用户
正确答案: B. 在生产账户角色的信任策略中添加开发账户作为委托人
解析
为了允许团队成员在两个不同的AWS帐户中访问Amazon S3存储桶,解决方案架构师应该将开发帐户作为主体添加到生产帐户中角色的信任策略中。因此,选项B是正确答案。 选项A建议将AdministratorAccess策略附加到开发帐户用户。虽然这种方法可以工作,但它不遵循最小特权原则,并且可能提供不必要的更多权限。 选项C建议关闭生产帐户S3桶上的S3 Block Public Access特性。虽然这种方法可以提供对S3存储桶的访问,但它不能解决团队成员如何使用帐户进行身份验证和访问其他资源的问题。 选项D建议在生产帐户中为每个团队成员创建一个具有唯一凭据的用户。虽然这种方法可以工作,但可能很难管理和撤销个人用户的访问权限,特别是在团队成员更改角色或离开公司的情况下。 通过将开发帐户作为主体添加到生产帐户中角色的信任策略中,解决方案架构师可以允许开发帐户中的团队成员承担该角色并访问生产帐户中的S3 bucket,而无需跨帐户共享任何秘密。信任策略可以缩小到开发帐户中的特定IAM用户或组,提供对谁可以承担角色的细粒度控制。该解决方案在遵循最小特权原则的同时满足了问题的要求。