Q33 — AWS SAA-C03 第5章
第 33/65 题 | ← 返回第5章
Q333.以下 IAM 策略附加到 IAM 组.这是唯一适用于该组的策略.该策略对群组成员的有效 IAM 权限是什么?
- A. 允许组成员在 us-east-1 区域内执行任何 Amazon EC2 操作.不应用允许权限后的语句.
- B. 组成员在 us-east-1 区域被拒绝任何 Amazon EC2 权限,除非他们使用多重身份验证 (MFA) 登录.
- C. 允许组成员在使用多重身份验证 (MFA) 登录时获得所有区域的 ec2: StopInstances 和 ec2.Terminatelnstances 权限.允许组成员执行任何其他 Amazon EC2 操作.
- D. 仅当使用多因素身份验证 (MFA) 登录时,组成员才被允许对 us-east-1 区域执行 ec2:StopInstances 和 ec2:TerminateInstances 权限 组成员被允许在 us-east- 1 地区. ✓
正确答案: D. 仅当使用多因素身份验证 (MFA) 登录时,组成员才被允许对 us-east-1 区域执行 ec2:StopInstances 和 ec2:TerminateInstances 权限 组成员被允许在 us-east- 1 地区.
解析
仅当用户通过 MFA 进行身份验证时,该策略才允许在 us-east-1 区域中执行 ec2:StopInstances 和 ec2:TerminateInstances 操作.对于 us-east-1 区域中的所有其他 Amazon EC2 操作,无需任何 MFA 要求即可允许组成员.允许权限后没有语句,因此没有应用额外的限制或权限.默认情况下,AWS Identity and Access Management (IAM) 用户无权创建或修改 Amazon EC2 资源,或使用 Amazon EC2 API 执行任务.要允许 IAM 用户创建或修改资源并执行任务,您必须创建 IAM 策略以授予 IAM 用户对他们需要使用的特定资源和 API 操作的权限,然后将这些策略附加到需要的 IAM 用户或组那些权限.